Durante el proceso de análisis forense digital, es posible que deba encontrar una membresía de cuentas de usuario local (que no sea de dominio) en grupos integrados. Por ejemplo, en el caso de que compruebe las ACL de algunos objetos que contienen permisos solo para grupos de seguridad locales.
He probado algunos analizadores de registro del sistema, pero no encontré al menos una herramienta con esa función. Por cierto, si conoce dicha aplicación, escriba su nombre en los comentarios.
Entonces, traté de entender cómo verificar manualmente la membresía de una cuenta de usuario y aquí está la solución. Todo lo que necesitas es cualquiera de los editores hexadecimales y paciencia, por supuesto :)
Primero abra el archivo de registro SAM en el editor hexadecimal y busque el nodo de nombres de usuario local:
Luego encuentre una cuenta de usuario de interés y observe su campo Tipo:
Ahora debería encontrar el nodo Builtin \ Aliases donde se alistaron todos los grupos de seguridad locales:
Puede recorrer todos los alias uno por uno y verificar su nombre legible:
O, en primer lugar, puede seleccionar un grupo que está buscando por su nombre en el nodo Builtin \ Aliases \ Names y luego usar su campo Tipo para encontrar un grupo relacionado en el nodo Builtin \ Aliases:
Ok chicos, estamos casi en la línea de meta. Ahora seleccione el grupo de interés. En la sección hexadecimal, puede ver el nombre ASCII del grupo y la descripción del grupo (dentro del rectángulo naranja). Las últimas líneas contienen información sobre los miembros del grupo (resaltada en color verde):
Y aquí está nuestro usuario! Tenga en cuenta que los alias de los usuarios se almacenan en formato "little endian" -
03 EB de derecha a izquierda
¡Gracias, volveré pronto con otro buen contenido forense digital!