স্থানীয় ব্যবহারকারীর অ্যাকাউন্ট তৈরির তারিখটি কীভাবে খুঁজে পাবেন?


8

আমি স্থানীয় ব্যবহারকারীর অ্যাকাউন্টের তৈরি তারিখটি পেতে চাই (এটি যদি গুরুত্বপূর্ণ হয় তবে উইন 7)। আমি নীচের WMI অবজেক্টগুলিতে (এবং অবশ্যই গুগল) দেখেছি:

Win32_UserAccount Win32_NetworkLoginProfile

যে জিনিসগুলি থেকে ফিরে এসেছিল NetworkLoginProfileতার শেষ লগইন সময় রয়েছে, তবে তৈরির তারিখটি নয়। Date Createdতাদের প্রোফাইল ফোল্ডারের সম্পত্তি যাচাই করা কেবলমাত্র সেই ফোল্ডারটি তৈরি করার তারিখ দেয় যা প্রয়োজনে অ্যাকাউন্টটি নিজেই হয় না।


2
চ্যাট থেকে যোগ করতে: আমি রেজিস্ট্রি তৈরির তারিখটিতে ব্যবহারকারীর এইচআইভি দেখতে পাচ্ছি, তবে এটি কেবল অ্যাকাউন্ট তৈরির তারিখ নয়, কেবল তাদের প্রথম লগইনের উপর ভিত্তি করে।
TheCleaner

উত্তর:


10

ডেটা স্যামে রয়েছে তবে এটি মাইক্রোসফ্ট দ্বারা প্রকাশ্যে নথিভুক্ত হয়েছে বলে মনে হয় না এবং এটি পুনরুদ্ধারের জন্য আমি কোনও অফিসিয়াল এপিআই খুঁজে পাচ্ছি না। আমি দেখতে পাচ্ছি, ইউটিলিটির জন্য উত্স কোডটি দেখেchntpw প্রতিটি মানটির জন্য মান "এফ" রেজিস্ট্রি কীতে সঞ্চিত থাকে। উত্স কোড

#define USER_F_PATH "\\SAM\\Domains\\Account\\Users\\%08X\\F"

struct user_F {
  ...
  char t_creation[8]; /* Time of account creation */
  ...
}

Regripper ফরেনসিক প্রকল্পের একটি প্লাগইন আছে, samparse যে অ্যাকাউন্ট তৈরির তারিখ রিপোর্ট হবে।

একটি ফরেনসিক সরঞ্জাম সম্ভবত আপনি যা চান তা নয়, তবে মনে হচ্ছে মাইক্রোসফ্ট এটিকে সহজ করছে না।


এটি অনুসন্ধান করার সময় আমি এটি মজাদার বলে মনে করি যে কোনও মাইক্রোসফ্ট এমভিপি জানত না যে অ্যাকাউন্ট তৈরির ডেটা এসএএম-তে সংরক্ষিত আছে । তার উপকারের জন্য সম্ভবত তিনি chntpwইউটিলিটিটি থেকে দূরে নন, এই জায়গা থেকে আমি অননুমোদিত এসএএম স্ট্রাকচার সম্পর্কিত তথ্য অনুসন্ধান শুরু করেছি started


আপনার ধারণাগুলি আমার কাছে আগ্রহী এবং আমি --- আপনার নিউজলেটারে সাবস্ক্রাইব করতে চাই --- , মানে এই চেষ্টা করে কীভাবে এই সরঞ্জামটি ব্যবহার করতে হয় তা শিখতে চাই। আপনি কি এই মুহূর্তে আমার সাথে কোনও যোগসূত্রটি পেতে পারেন? (অভিশাপ আপনি মার্কডাউন!)
আশাহীন N00b

উপরের রেগ্রিপার প্রকল্পের কেবল লিঙ্ক। আমি ব্যক্তিগতভাবে এটি ব্যবহার করি নি, তবে এটি মোকাবেলা করার পক্ষে যুক্তিসঙ্গতভাবে সহজ বলে মনে হচ্ছে। দেখে মনে হচ্ছে এটি এখন কালি লিনাক্সে অন্তর্ভুক্ত করা হয়েছে ( bugs.kali.org/print_bug_page.php?bug_id=246 ) আপনি যদি কেবল রেগ্রিপার চালানোর জন্য পার্ল পরিবেশ স্থাপনের পরিবর্তে কোনও লাইভ সিডি বুট করেন। স্পষ্টতই এই সরঞ্জামগুলির চারপাশে একটি বই লেখা ছিল। এটি মূল্যবান দেখাচ্ছে: অ্যামাজন / উইন্ডোস -আরজিস্ট্রি- ফোরেন্সিকস-অ্যাডভান্সড- ফোরেনসিক / ডিপি / Iএই সরঞ্জামগুলি নিয়ে আমার সম্ভবত কিছুটা সময় খেলা উচিত - আমার এই অনুষ্ঠানটি হয়নি।
ইভান অ্যান্ডারসন

আমি মনে করি ইভান রিচার্ড মুলারের কাছে ক্ষমা চাইতে পারেন))
চার্লসউজ8১

আমি সরঞ্জামগুলি চেষ্টা করে দেখিনি। আপনি কি খুঁজে পাচ্ছেন যে তারিখটি জনবহুল হচ্ছে না?
ইভান অ্যান্ডারসন

আপনি এখনও নীচে আমার নিজের উত্তরটি দেখেছেন কিনা তা নিশ্চিত নন, তবে ক্ষেত্রটি "তৈরির তারিখ" হিসাবে উল্লেখ করা হচ্ছে আসলে "পাসওয়ার্ড শেষবার পরিবর্তন হয়েছে", যা অবশ্যই প্রথম পোস্ট-অ্যাকাউন্ট তৈরির পাসওয়ার্ড পরিবর্তন না হওয়া পর্যন্ত একই মান হবে।
Charleswj81

3

আসলে জানার একমাত্র উপায় হ'ল অ্যাকাউন্টটি তৈরি করার সময় গণনা আর এ অ্যাকাউন্ট ম্যানেজমেন্ট অডিটিং সক্ষম করা হবে । তারপরে আপনি ইভেন্টের লডে ইভেন্টআইডি 4720 তৈরির তারিখে দেখতে পাবেন। (নিবন্ধটি অ্যাক্টিভ ডিরেক্টরি বলে, তবে এটি স্থানীয় অ্যাকাউন্টগুলিতেও প্রযোজ্য; আমি পরীক্ষা করেছি।)

এটি ছাড়া, আপনি যে নিকটে আসতে পারেন তা হ'ল ব্যবহারকারীর রেজিস্ট্রি হাইভ, ntuser.datফাইল, ব্যবহারকারীর প্রোফাইল ফোল্ডার ইত্যাদিতে তৈরি তারিখটি যাচাই করা , তবে মন্তব্যে যেমন উল্লেখ করা হয়েছে, এটি কেবল ব্যবহারকারীর প্রথম লগন সম্পর্কিত সঠিক, যখন সেই জিনিসগুলি তখন তৈরি করা হয়.

দুর্ভাগ্যক্রমে আপনার জন্য, এটি "যদি আপনি এটি লগ না করে থাকেন, তবে সেই তথ্যটির অস্তিত্ব নেই" a


1

আমি আপনাকে তৈরির সময়টি বের করার এবং বিশ্লেষণের জন্য একটি পোকি পাওয়ারশেল স্ক্রিপ্ট দিতে যাচ্ছিলাম, কিন্তু আমি বুঝতে পারি যে chntpwএর যুক্তিটি ভুল is এটি তৈরির সময়টিকে যে মান বলছে তা হ'ল প্রকৃতপক্ষে পাসওয়ার্ডটি নির্ধারিত সময়, যদিও প্রাথমিক অ্যাকাউন্ট তৈরির সময় এই মানগুলি একই। এসএএম-এর সম্পূর্ণ বিবরণের জন্য এখানে দেখুন ।

ইভানের দ্বিতীয় লিঙ্কটি samparseসম্ভবত এটি পেতে পারে। এর দিকে তাকানো আসলে কাজ করে। আপনি যদি এখানে এর উত্সটি দেখেন তবে লাইন 99:

$c_date = $create->get_timestamp();

আপনি এটি get_timestampপার্ল থেকে কল দেখতে পাবেন Parse::Win32Registry। আমি বেশ নিশ্চিত যে এটি কীটির শেষ লেখার সময়। যেহেতু এটি প্রদর্শিত হবে ( HKLM\SAM\SAM\Domains\Account\Users\Names\<USERNAME>only

আমি আপনাকে আরও অন্তর্নির্মিত সরঞ্জামগুলির সাথে আটকে রাখতে চাই, এখানে স্ক্রিপ্টিং গাইয়ের নিবন্ধগুলির একটি সিরিজ এখানে পাওয়ারশেলের মাধ্যমে ব্যাখ্যা করে:

সর্বশেষ-পরিবর্তিত সময় স্ট্যাম্প রেজিস্ট্রি অ্যাক্সেস পাওয়ারশেল ব্যবহার করুন

পাওয়ারশেল রেজিস্ট্রি টাইম স্ট্যাম্প কোড পুনরায় ব্যবহার করা হচ্ছে

রেজিস্ট্রি কী টাইম স্ট্যাম্পগুলি প্রদর্শনের জন্য একটি প্রক্সি ফাংশন তৈরি করুন

পাওয়ারশেলের মাধ্যমে লিভারেজ রেজিস্ট্রি কী টাইম স্ট্যাম্পগুলি


-3

পাওয়ারশেলের এই কমান্ডটি কৌশলটি করা উচিত:

systeminfo | findstr /C:"Install Date"

1
এটি কীভাবে সম্পর্কিত? প্রশ্ন পড়েছেন?
সোভেন

-5

আমার কম্পিউটারের মাধ্যমে নেভিগেট করুন

সি: \ ব্যবহারকারীরা এবং আপনি স্থানীয় মেশিনে তালিকাভুক্ত সমস্ত ব্যবহারকারীর অ্যাকাউন্ট দেখতে পাবেন। আপনি যথাযথ ব্যবহারকারীর অ্যাকাউন্টে ক্লিক করতে পারেন এবং বৈশিষ্ট্যগুলিতে যেতে পারেন এবং এটি আপনাকে তৈরির তারিখ দেখায়, এটি ব্যবহারকারীর অ্যাকাউন্ট তৈরির মতোই হওয়া উচিত

শুধু আমার 2 সেন্ট


2
-1 - প্রোফাইল ডিরেক্টরি তৈরি করার সময় এটি আপনাকে দেখায়। অ্যাকাউন্ট ডিরেক্টরিটি মুছে ফেলা এবং অ্যাকাউন্ট তৈরির পরে যে কোনও সময় পুনরায় তৈরি করা যেতে পারে তা অ্যাকাউন্টটি কখন তৈরি হয়েছিল তা আপনাকে জানায় না।
ইভান অ্যান্ডারসন

যদিও এটি সম্ভব, 99% সময় এটি সঠিক হবে, এবং এটি বেশিরভাগের পক্ষে যথেষ্ট
কেভিন

আমাকে সর্বদা এটি সরল রাখতে বলা হয়েছিল ... মনে হয় আমরা দুজনেই একই উত্তর পেয়েছি, আপনাকে একটি প্রোগ্রাম লিখতে যেতে হবে, এবং আমি কেবল আপনার সামনে ইতিমধ্যে উপলব্ধ ডেটা নিয়েছি
কেভিন

2
দুঃখিত কেভিন, এই বিশেষ সমাধানটির জন্য এটি প্রায় কাটেনি। বিশেষত, এটি একটি ল্যাব কম্পিউটারের জন্য সম্পন্ন করতে হয়েছিল, যেখানে লগইন সময়কে গ্রহণযোগ্য এবং নষ্ট স্থান নিচে রাখতে নিয়মিতভাবে প্রোফাইল ফোল্ডারগুলি মুছতে হত, সুতরাং এই সমাধানটি কোনওভাবেই প্রশ্রয়যোগ্য নয়, কারণ সেই তারিখটি ঠিক একটি ফোল্ডার তৈরি তারিখ, কোনও ব্যবহারকারী প্রোফাইল তৈরির তারিখ।
MDMoore313

1
@ কেভিন "এটিকে সহজ রাখুন" উত্তরটি আমার, যা অ্যাকাউন্ট তৈরির আগে অডিটিং সক্ষম না করা সত্ত্বেও ব্যবহারকারীর রেজিস্ট্রি মধু, এনটিউসার.ড্যাট ফাইল বা ব্যবহারকারীর প্রোফাইল ফোল্ডার সরবরাহ করতে পারে একটি আনুমানিক জটিল উত্তরটি হ'ল ইভানএন্ডারসন, যা আসলে কাজ করে, আমার অবাক করে দেয়।
আশাহীন N00b
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.