Saya baru saja akan memberi Anda skrip PowerShell POC untuk mengekstrak dan menguraikan waktu pembuatan, tetapi saya menyadari bahwa chntpw
logika itu salah. Nilai yang disebutnya waktu pembuatan sebenarnya adalah kata sandi waktu yang diset terakhir, meskipun nilai-nilai ini sama pada saat pembuatan akun awal. Lihat di sini untuk deskripsi lengkap tentang SAM.
Tautan kedua Evan, untuk samparse
, mungkin bisa melakukannya dengan benar. Melihat itu sebenarnya berfungsi. Jika Anda melihat sumbernya di sini , baris 99:
$c_date = $create->get_timestamp();
Anda akan melihatnya panggilan get_timestamp
dari Perl Parse::Win32Registry
. Saya cukup yakin itu sebenarnya adalah waktu penulisan kunci terakhir. Karena tampaknya bahwa tombol tertentu ( HKLM\SAM\SAM\Domains\Account\Users\Names\<USERNAME>
) hanya menyimpan pointer ke kunci RID yang sesuai, itu tidak boleh berubah setelah pembuatan dan waktu penulisan terakhir akan sama dengan waktu pembuatan.
Jika Anda ingin tetap menggunakan lebih banyak alat bawaan, berikut adalah serangkaian artikel dari Scripting Guy yang menjelaskan caranya melalui PowerShell:
Gunakan PowerShell untuk Mengakses Stempel Waktu Modifikasi Terakhir Registri
Menggunakan kembali PowerShell Registry Time Stamp Code
Buat Fungsi Proksi untuk Menampilkan Perangko Waktu Kunci Registri
Leverage Registry Key Time Stamps melalui PowerShell