Windows
如何查找本地使用者帳戶的創建日期?
我想獲取本地使用者帳戶的創建日期(如果重要的話,Win 7)。我查看了以下 WMI 對象(當然還有 google):
Win32_UserAccountWin32_NetworkLoginProfile從返回的對象
NetworkLoginProfile具有上次登錄時間,但沒有創建日期。檢查Date Created其個人資料文件夾的屬性僅給出該文件夾的創建日期,而不一定是帳戶本身。
數據在 SAM 中,但似乎沒有被微軟公開記錄,我也沒有找到官方 API 來檢索它。我可以看到,查看該實用程序的原始碼
chntpw,該值儲存在每個帳戶的“F”系統資料庫項中。引用原始碼:#define USER_F_PATH "\\SAM\\Domains\\Account\\Users\\%08X\\F" struct user_F { ... char t_creation[8]; /* Time of account creation */ ... }regripper取證項目有一個外掛,samparse ,它將報告帳戶創建日期。
取證工具可能不是您想要的,但看起來微軟並沒有讓它變得容易。
在對此進行研究時,我確實發現Microsoft MVP 不知道帳戶創建數據儲存在 SAM 中確實很有趣。為了他的利益,也許他並沒有離開該
chntpw實用程序,這是我開始搜尋有關未記錄的 SAM 結構資訊的地方。