当使用 PC 的取证图像进行工作时,没有虚拟化图像,有没有办法确定特定用户是否是管理员?
如果是这样,有没有办法知道他们何时被授予管理员权限?
答案1
如果不虚拟化图像,有没有办法确定特定用户是否是管理员?
从注册表(特别是从SAM文件中)读取组成员身份。目前无法说出任何 Windows 工具可用于此目的,但 Linux 有chntpw可用于显示用户所属组的工具。(好吧,Regedit 可以工作,但由于组以二进制格式存储,因此有点困难。)
如果是的话,有没有办法知道他们何时被授予管理员权限?
阅读事件日志 –安全.evtx日志可能包含记录本地组成员身份变化的审核事件。
假设所有用户都是本地用户。如果本地管理员组已将域组添加为成员,则在用户尝试登录之前,PC 不会知道该域组的间接更改。
答案2
有许多取证产品可以分析系统映像的多个方面。但是,大多数都是商业产品,而且价格昂贵。
为了分析有关用户帐户的信息,您只需要两个注册表配置单元:SAM 和 SYSTEM。
一些可以分析这些蜂巢的免费产品是:
其中一些工具实际上是用来破解密码的,但也可以用于取证。
更多信息请参阅: