如何查找本地用户帐户的创建日期?

Modified on: Tue, 23 Jul 2019 01:40:02 +0800

我想获得本地用户帐户的创建日期(如果重要,则为Win 7)。我查看了以下WMI对象(当然还有google):

Win32_UserAccount
Win32_NetworkLoginProfile

NetworkLoginProfile返回的对象具有上次登录时间,但不是创建日期。检查其配置文件文件夹的Date Created属性仅提供创建文件夹的日期,而不一定是帐户本身。

作者:MDMoore313

最佳答案

数据在SAM中,但似乎没有Microsoft公开记录,我也没有找到正式的API来检索它。我可以看一下,查看chntpw实用程序,该值存储在每个帐户的“F”注册表项中。 Quoth源代码:

#define USER_F_PATH "\\SAM\\Domains\\Account\\Users\\%08X\\F"

struct user_F {
  ...
  char t_creation[8]; /* Time of account creation */
  ...
}

regripper取证项目有一个插件,samparse将报告帐户创建日期。

取证工具可能不是你想要的,但看起来微软并不容易。


在研究这个问题时,我确实觉得很有意思Microsoft MVP不知道帐户创建数据存储在SAM中。为了他的利益,他可能没有离开chntpw实用程序,这是我开始搜索有关未记录的SAM结构的信息的地方。


相关问答

添加新评论