结果发现，Process Monitor提示Lsass进程会在“C:UsersAdminAppDataRoamingMicrosoftProtectS-1- 5-21-118199911-2510020216-4247364677-1000目录下创建一个Preferred文件。这个文件一般是用来提示系统选择所需的主密钥。如附图所示。

图

　　C:UsersAdminAppDataRoamingMicrosoftProtect下保存的是指定用户的主密钥，S-1-5-21-118199911-2510020216-4247364677-1000就是盆盆所使用帐户的SID。

　　同时Process Monitor提示Lsass进程会在“C:UsersAdminAppDataRoamingMicrosoftCredentials 下创建一个5958C724801B91E50915D98404E30E25文件，这就是新建凭据的对应文件。如附图所示。

图

　　如果删除该5958C724801B91E50915D98404E30E25的凭据文件，再打开“存储的用户名和密码对话框，就会发现网络访问凭据已经被删除，这再次证明了两者的对应关系。

　　可见，网络访问凭据并不是保存在注册表上，而是保存在文件系统里。

　　盆盆评注：系统用Preferred文件指定的主密钥，对网络访问凭据进行加密，并保存在%AppData%MicrosoftCredentials下。

标签：