أثناء عملية تحليل الطب الشرعي الرقمي ، قد تحتاج إلى معرفة عضوية حسابات مستخدمين محليين (غير مجالين) في مجموعات مضمّنة. على سبيل المثال ، في حالة التحقق من قوائم ACL الخاصة ببعض الكائنات والتي تحتوي على أذونات فقط لمجموعات الأمان المحلية.
لقد اختبرت عددًا من أجهزة تحليل سجل النظام ، لكنني لم أجد أداة واحدة على الأقل بهذه الوظيفة. راجع للشغل إذا كنت تعرف عن هذا التطبيق ، يرجى كتابة اسم في التعليقات.
لذا ، حاولت أن أفهم كيفية التحقق من عضوية حساب المستخدم يدويًا وهذا هو الحل. كل ما تحتاجه هو أي من محرري عرافة وصبر بالطبع :)
أولاً افتح ملف التسجيل SAM في محرر hex وابحث عن عقدة Users Names المحلية:
ثم ابحث عن حساب مستخدم مهم ولاحظ أنه حقل الكتابة:
الآن يجب أن تجد عقدة Builtin \ Aliases حيث تم إدراج جميع مجموعات الأمان المحلية:
يمكنك اجتياز جميع الأسماء المستعارة واحدة تلو الأخرى والتحقق من أنها قابلة للقراءة:
أو يمكنك أولاً تحديد مجموعة تبحث عنها حسب اسمها في عقدة Builtin \ Aliases \ Names ثم استخدام حقل الكتابة للعثور على مجموعة مرتبطة في عقدة Builtin \ Aliases:
حسنًا يا شباب ، لقد وصلنا إلى خط النهاية تقريبًا. الآن حدد مجموعة الاهتمام. في القسم السداسي ، يمكنك رؤية اسم المجموعة ASCII ووصف المجموعة (داخل المستطيل البرتقالي). تحتوي أحدث خطوط متعددة على معلومات حول أعضاء المجموعة (مظللة باللون الأخضر):
وهنا مستخدمنا! يرجى ملاحظة أنه يتم تخزين الأسماء المستعارة للمستخدمين بتنسيق "endian الصغير" -
03 EB من اليمين إلى اليسار
شكرًا لك ، سأعود قريبًا مع محتوى الطب الشرعي الرقمي الجيد الآخر!