问题描述
我正在课堂上做一些数字取证工作,我能够找到最后一个在计算机上登录的用户(在WINDOWS / SYstem32 / CONfig / SOFTWARE / MICROSOFT / WINDOWS NT / CURRENT VERSION / WINlogoN /中找到了该用户)默认用户名)。该计算机上有5个用户帐户,我需要找到每个用户的登录数和每个用户的上次登录日期,我应该在哪个文件夹中找到它? 我正在使用尸检软件。
解决方法
此explanation应该会有所帮助,但这将是一个通用的答案,因为该问题无法重现。
通常,“ C:\ Windows \ System32 \ winevt \ Logs”文件夹包含Windows系统上的事件日志,用于跟踪登录事件。您应该查找Security.evtx文件(那里有很多日志,并且您正在其中查找4624个日志)。如果您的尸体解剖版本正在对此进行解析,则应尝试查找交互式登录(〜=常规键盘登录,或登录类型2,请参见说明。这是一个假设)。
您可以对它们进行计数,或者它是不支持解析的旧尸检版本,而是导出Security.evtx文件,并在本地法医分析主机上的事件查看器中将其打开,然后进行过滤(打开Security.evtx使用事件查看器,操作/过滤当前日志/包括事件ID:4624,关键字:审核成功,用户:Xyz(并在检查后将其更改为下一个)