デジタルフォレンジック分析プロセス中に、組み込みグループのローカル(非ドメイン)ユーザーアカウントメンバーシップを見つける必要がある場合があります。 たとえば、ローカルセキュリティグループのアクセス許可のみを含むオブジェクトのACLをチェックする場合。
いくつかのシステムレジストリアナライザーをテストしましたが、そのような機能を持つツールが少なくとも1つ見つかりませんでした。 ところで、あなたがそのようなアプリについて知っているなら、コメントにその名前を書いてください。
そこで、ユーザーアカウントのメンバーシップを手動で確認する方法を理解しようとしましたが、これが解決策です。 必要なのは、16進エディターと忍耐力だけです:)
まず、16進エディターでSAMレジストリファイルを開き、ローカルのユーザー名ノードを見つけます。
次に、目的のユーザーアカウントを見つけて、[タイプ]フィールドに注意します。
これで、すべてのローカルセキュリティグループが参加しているBuiltin \ Aliasesノードが見つかります。
すべてのエイリアスを1つずつトラバースして、読み取り可能な名前を確認できます。
または、最初にBuiltin \ Aliases \ Namesノードで名前で探しているグループを選択し、次にTypeフィールドを使用してBuiltin \ Aliasesノードで関連グループを見つけることができます。
わかりました、フィニッシュラインに近づいています。 次に、目的のグループを選択します。 16進数セクションには、グループのASCII名とグループの説明(オレンジ色の長方形の内側)が表示されます。 最後の数行には、グループメンバーに関する情報が含まれています(緑色で強調表示されています)。
そしてここに私たちのユーザーがいます! ユーザーエイリアスは「リトルエンディアン」形式で保存されます
-03 EB右から左
ありがとう、すぐに他の優れたデジタルフォレンジックコンテンツをお届けします!