[Question]
List all accounts in OS except the system accounts : Administrator, Guest, systemprofile, LocalService, NetworkService. (Account name, login count, last logon date...)
① 분석 도구
- Registry Explorer
② 관련 경로
- HKLM\SAM\SAM\Domains\Account\Users
③ Security Identifier(SID) (위키백과)
- 보안식별자(Security Identifier, SID)는 마이크로소프트 윈도우 NT 계열의 운영체제 환경에서 NT/2000 시스템의 네트워크 안의 사용자 그룹이나 사용자와 같은 주체를 식별할 목적으로, 로그온을 하는 동안 윈도 도메인 컨트롤러가 할당하는 고유 이름입니다.(위키백과)
- SID의 형태는 아래와 같습니다. (ex), S-1-5-21-3623811015-3361044348-30300820-1013)
- S : SID를 의미
- 1 : 버전 번호(SID 규격의 버전)
- 5 : 식별자 권한값
- 21-3623811015-3361044348-30300820 : 도메인 및 로컬 컴퓨터 식별자
- 1013 : 상대 ID(RID). 기본값으로 만들지 않은 그룹이나 사용자는 1000 상의 상대 ID 값을 가진다.
- 500 : 관리자(Administrator) 식별자
- 501 : 게스트(Guest) 식별자
- 1000이상 : 일반 사용자 식별자
- Window에서 확인하는 방법
- WMIC : Windows Management Instruction Console
- 'useraccount list brief' 명령어를 입력하면 간략히 화면에 출력됩니다.
④ 분석 결과
- Administragor, Guest, systemporfile, LocalService, NetworkService를 제외한 계정 정보들을 나열하는 것이므로, user id가 1000번대인 계정들만 확인하면 됩니다.
| Name | User id | Created On | Last Login Time | Group |
| informant | 1000 | 2015-03-22 14:33:54 | 2015-03-25 14:45:59 | Administrators |
| admin11 | 1001 | 2015-03-22 15:51:54 | 2015-03-22 15:57:02 | Administrators, Users |
| ITechTeam | 1002 | 2015-03-22 15:52:30 | Administrators, Users | |
| temporary | 1003 | 2015-03-22 15:53:01 | 2015-03-22 15:55:57 | Users |
'CFReDS > Data Leakage Case' 카테고리의 다른 글
| 8. last recorded shutdown date/time (0) | 2022.06.21 |
|---|---|
| 7. last logon (0) | 2022.06.21 |
| 5. Computer name (0) | 2022.06.21 |
| 4. timezone (0) | 2022.06.20 |
| 3. OS information (0) | 2022.06.20 |
