windows – 如何查找本地用户帐户的创建日期？

发布时间：2021-01-17 21:27:37 所属栏目：Windows 来源：网络整理

导读：我想获得本地用户帐户的创建日期(如果重要的话,获胜7).我看了下面的WMI对象(当然是google)： Win32_UserAccount Win32_NetworkLoginProfile 从NetworkLoginProfile返回的对象具有上次登录时间,但不是创建日期.检查其配置文件文件夹的“创建日期”属性仅提供

我想获得本地用户帐户的创建日期(如果重要的话,获胜7).我看了下面的WMI对象(当然是google)：

Win32_UserAccount
Win32_NetworkLoginProfile

从NetworkLoginProfile返回的对象具有上次登录时间,但不是创建日期.检查其配置文件文件夹的“创建日期”属性仅提供创建文件夹的日期,而不一定是帐户本身.

数据在SAM中,但它似乎没有被Microsoft公开记录,我也没有找到正式的API来检索它.我可以看到,查看 source code for the chntpw utility该值存储在每个帐户的“F”注册表项中. Quoth源代码：

#define USER_F_PATH "SAMDomainsAccountUsers%08XF"

struct user_F {
  ...
  char t_creation[8]; /* Time of account creation */
  ...
}

regripper取证项目有一个插件,samparse将报告帐户创建日期.

取证工具可能不是你想要的,但看起来微软并没有让它变得简单.

在研究这个问题时,我确实发现Microsoft MVP didn’t know that the account creation data is stored in the SAM很有趣.为了他的利益,也许他没有离开chntpw实用程序,这是我开始搜索有关未记录的SAM结构的信息的地方.

（编辑：呼伦贝尔站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!