在哪里可以找到 Applescript 代码或 PList 来获取操作系统本身已知的已删除用户名,而不管文件系统的删除情况?
依赖操作系统提供的文件夹层次结构和备份磁盘映像并不是进行取证分析的好方法。这些很容易被破坏。
答案1
Mac OS X 不会保留已删除帐户的列表或数据库。删除帐户时,该帐户的条目将从 Open Directory 的数据存储中删除。
答案2
无论其他答案如何,我前段时间发现了这个 bash 解决方案:
defaults read /Library/Preferences/com.apple.preferences.accounts deletedUsers
为每个从系统中删除的用户提供一个帐户名,格式如下。只要 com.apple.preferences.accounts.plist 文件本身没有被篡改,删除时间长短都无关紧要:
(
{
date = 9999-99-99 00:00:00 -0000;
"dsAttrTypeStandard:RealName" = "Account name";
"dsAttrTypeStandard:UniqueID" = 501;
name = deletedusername;
},
{
date = 9999-99-99 00:00:00 -0000;
"dsAttrTypeStandard:RealName" = "Another name";
"dsAttrTypeStandard:UniqueID" = 502;
name = deletedothername;
}
)