在使用解剖工具时，如何确定Windows中用户帐户的登录计数和最后登录日期？

Question

我正在做一些数字取证课的活动，我找到了最后一个在计算机上登录的用户(在WINDOWS/SYSTEM32/CONFIG/SOFTWARE/MICROSOFT/WINDOWS NT/当前版本/WINLOGON/默认用户名上找到的)。计算机上有5个用户帐户，我需要找到每个用户的登录计数和每个用户的最后登录日期，我应该在哪个文件夹中找到它？，我正在使用解剖软件.

Answer 1

这个解释应该有帮助，但这将是一个通用的答案，因为问题是不可重现的。

通常，“C：\ Windows \ systems 32\winevt\log”文件夹包含Windows系统上的事件日志，跟踪登录事件。您应该查找Security.evtx文件(其中将有大量日志，您正在查找其中的4624个日志)。如果您的解剖版本正在解析这一点，您应该尝试找到交互式登录(~=普通键盘登录，或登录类型2，请参阅解释)。这是一个假设)。

您可以计数它们，或者它是一个旧的尸检版本，不支持解析，相反，导出Security.evtx文件，并在您的法医分析主机上的事件查看器中打开它，并在本地筛选(使用事件查看器打开Security.evtx，操作/筛选当前日志/包括事件in : 4624，关键词:审核成功，用户:Xyz(并将其更改为下一个一旦检查)