Selama proses analisis forensik digital, Anda mungkin perlu mengetahui keanggotaan akun pengguna (non-domain) lokal dalam grup bawaan. Misalnya dalam kasus ketika Anda memeriksa ACL beberapa objek yang hanya berisi izin untuk grup keamanan lokal.
Saya telah menguji beberapa penganalisa registri sistem tetapi tidak menemukan setidaknya satu alat dengan fungsi tersebut. BTW jika Anda tahu tentang aplikasi tersebut, silakan tulis nama itu di komentar.
Jadi, saya mencoba memahami cara memeriksa keanggotaan akun pengguna secara manual dan inilah solusinya. Yang Anda butuhkan hanyalah editor hex dan kesabaran tentu saja :)
Pertama-tama buka file registri SAM di hex editor dan temukan simpul Users Names:
Kemudian cari akun pengguna yang menarik dan perhatikan bidangnya Jenis:
Sekarang Anda harus menemukan simpul Builtin \ Alias ββdi mana semua grup keamanan lokal terdaftar:
Anda dapat melintasi semua Alias ββsatu per satu dan memeriksa nama yang dapat dibaca:
Atau Anda dapat terlebih dahulu memilih grup yang Anda cari dengan namanya di simpul Builtin \ Aliases \ Names dan kemudian gunakan kolom Type-nya untuk menemukan grup terkait di simpul Builtin \ Aliases:
Oke teman-teman, kita hampir sampai di garis finish. Sekarang pilih grup yang diinginkan. Di bagian hex Anda bisa melihat nama ASCII dari grup dan deskripsi grup (di dalam persegi panjang oranye). Beberapa baris terbaru berisi informasi tentang anggota grup (disorot dengan warna hijau):
Dan inilah pengguna kami! Harap dicatat bahwa alias pengguna disimpan dalam format "little endian" -
03 EB dari kanan ke kiri
Terima kasih, saya akan segera kembali dengan konten Digital Forensik bagus lainnya!