Блог

Я выполняю некоторые действия в своем классе по цифровой криминалистике. Мне удалось найти последнего пользователя, который входил в систему на компьютере (нашел его в WINDOWS / SYSTEM32 / CONFIG / SOFTWARE / MICROSOFT / WINDOWS NT / ТЕКУЩАЯ ВЕРСИЯ / WINLOGON / ИМЯ ПОЛЬЗОВАТЕЛЯ ПО УМОЛЧАНИЮ). На компьютере 5 учетных записей пользователей, и мне нужно найти количество входов в систему для каждого пользователя и дату последнего входа в систему для каждого пользователя, в какой папке я должен это найти? Я использую программное обеспечение Autopsy.

Это объяснение должно помочь, но это будет общий ответ, поскольку проблема не воспроизводима.

Обычно «C:WindowsSystem32winevtLogs » папка содержит журналы событий в системах Windows, отслеживающие события входа в систему. Вам следует поискать файл Security.evtx (там будет много журналов, и вы ищете в нем 4624 журнала). Если ваша версия Autopsy анализирует это, вам следует попытаться найти интерактивные логины (~ = обычные входы с клавиатуры или тип входа 2 см. Объяснение. Это предположение).

Вы можете либо подсчитать их, либо использовать старую версию Autopsy, которая не поддерживает синтаксический анализ, вместо этого экспортируйте файл Security.evtx и откройте его в средстве просмотра событий на вашем узле forensic analysis локально, и фильтруйте (откройте Security.evtx с помощью средства просмотра событий, Действия / Фильтровать текущий журнал / Включает идентификаторы событий: 4624, Ключевые слова: Успех аудита, Пользователь: Xyz (и измените его на следующий после проверки)