如何解决使用尸检工具时,如何确定Windows XP中用户帐户的登录计数和最后登录日期?
我正在课堂上做一些数字取证工作,我能够找到最后一个在计算机上登录的用户(在WINDOWS / SYSTEM32 / CONFIG / SOFTWARE / MICROSOFT / WINDOWS NT / CURRENT VERSION / WINLOGON /中找到了该用户)默认用户名)。该计算机上有5个用户帐户,我需要找到每个用户的登录数和每个用户的上次登录日期,我应该在哪个文件夹中找到它? 我正在使用尸检软件。
解决方法
此explanation应该会有所帮助,但这将是一个通用的答案,因为该问题无法重现。
通常,“ C:\ Windows \ System32 \ winevt \ Logs”文件夹包含Windows系统上的事件日志,用于跟踪登录事件。您应该查找Security.evtx文件(那里有很多日志,并且您正在其中查找4624个日志)。如果您的尸体解剖版本正在对此进行解析,则应尝试查找交互式登录(〜=常规键盘登录,或登录类型2,请参见说明。这是一个假设)。
您可以对它们进行计数,或者它是不支持解析的旧尸检版本,而是导出Security.evtx文件,并在本地法医分析主机上的事件查看器中将其打开,然后进行过滤(打开Security.evtx使用事件查看器,操作/过滤当前日志/包括事件ID:4624,关键字:审核成功,用户:Xyz(并在检查后将其更改为下一个)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。