Während des Analyseprozesses für die digitale Forensik müssen Sie möglicherweise herausfinden, ob ein lokales (Nicht-Domänen-) Benutzerkonto Mitglied in integrierten Gruppen ist. Zum Beispiel, wenn Sie die ACLs einiger Objekte überprüfen, die Berechtigungen nur für lokale Sicherheitsgruppen enthalten.
Ich habe einige Systemregistrierungsanalysatoren getestet, aber nicht mindestens ein Tool mit einer solchen Funktion gefunden. Übrigens, wenn Sie über eine solche App Bescheid wissen, schreiben Sie bitte einen Namen in die Kommentare.
Daher habe ich versucht zu verstehen, wie die Mitgliedschaft eines Benutzerkontos manuell überprüft wird. Hier ist die Lösung. Alles was Sie brauchen ist ein Hex-Editor und natürlich Geduld :)
Öffnen Sie zunächst die SAM-Registrierungsdatei im Hex-Editor und suchen Sie den lokalen Knoten Benutzernamen:
Suchen Sie dann ein Benutzerkonto von Interesse und notieren Sie sich das Feld Typ:
Jetzt sollten Sie den Knoten Builtin \ Aliases finden, auf dem alle lokalen Sicherheitsgruppen eingetragen sind:
Sie können alle Aliase einzeln durchlaufen und den lesbaren Namen überprüfen:
Oder Sie können zuerst eine gesuchte Gruppe anhand ihres Namens im Knoten "Builtin \ Aliases \ Names" auswählen und dann im Feld "Typ" die zugehörige Gruppe im Knoten "Builtin \ Aliases" suchen:
Ok Leute, wir sind fast am Ziel. Wählen Sie nun die interessierende Gruppe aus. Im Hex-Bereich sehen Sie den ASCII-Namen der Gruppe und die Gruppenbeschreibung (innerhalb des orangefarbenen Rechtecks). Die letzten Zeilen enthalten Informationen zu Gruppenmitgliedern (grün hervorgehoben):
Und hier ist unser Benutzer! Bitte beachten Sie, dass Benutzer-Aliase im "Little Endian" -Format -
03 EB von rechts nach links gespeichert sind
Vielen Dank, ich werde bald mit anderen guten Inhalten von Digital Forensics zurück sein!