我想获得本地用户帐户的创建日期(如果重要的话,获胜7).我看了下面的WMI对象(当然是google):
Win32_UserAccount
Win32_NetworkLoginProfile
从NetworkLoginProfile返回的对象具有上次登录时间,但不是创建日期.检查其配置文件文件夹的“创建日期”属性仅提供创建文件夹的日期,而不一定是帐户本身.
数据在SAM中,但它似乎没有被Microsoft公开记录,我也没有找到正式的API来检索它.我可以看到,查看
source code for the
原文链接:https://www.f2er.com/windows/370033.htmlchntpw utility该值存储在每个帐户的“F”注册表项中. Quoth源代码:
#define USER_F_PATH "\\SAM\\Domains\\Account\\Users\\%08X\\F"
struct user_F {
...
char t_creation[8]; /* Time of account creation */
...
}
regripper取证项目有一个插件,samparse将报告帐户创建日期.
取证工具可能不是你想要的,但看起来微软并没有让它变得简单.
在研究这个问题时,我确实发现Microsoft MVP didn’t know that the account creation data is stored in the SAM很有趣.为了他的利益,也许他没有离开chntpw实用程序,这是我开始搜索有关未记录的SAM结构的信息的地方.
