MDM*_*313 9 windows powershell wmi user-accounts
我想获取本地用户帐户的创建日期(如果重要,请使用 Win 7)。我查看了以下 WMI 对象(当然还有谷歌):
Win32_UserAccount
Win32_NetworkLoginProfile
返回的对象NetworkLoginProfile具有上次登录时间,但没有创建日期。检查Date Created他们的配置文件文件夹的属性只会给出该文件夹的创建日期,不一定是帐户本身。
Eva*_*son 11
数据在 SAM 中,但它似乎没有被微软公开记录,我也没有找到官方 API 来检索它。我可以看到,查看实用程序的源代码chntpw,该值存储在每个帐户的“F”注册表项中。引用源代码:
#define USER_F_PATH "\\SAM\\Domains\\Account\\Users\\%08X\\F"
struct user_F {
...
char t_creation[8]; /* Time of account creation */
...
}
该regripper取证项目有一个插件,samparse将报告该帐户的创建日期。
取证工具可能不是您想要的,但看起来微软并没有让它变得容易。
在对此进行研究时,我确实发现Microsoft MVP 不知道帐户创建数据存储在 SAM 中这一点很有趣。为了他的利益,也许他并没有离开该chntpw实用程序,这是我开始搜索有关未记录的 SAM 结构的信息的地方。
| 归档时间: |
|
| 查看次数: |
50796 次 |
| 最近记录: |