win10中查看开关机时间及查看admin的RID的方法
原文鏈接:
https://www.toutiao.com/i6772133439593251339/
打開系統(tǒng)的注冊表
鍵盤輸入win+r組合鍵出現(xiàn)運行窗口命令
輸入regedit
按回車鍵,進入注冊表編輯器
依次展開"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion",雙擊查看"InstallDate"鍵內(nèi)容
雙擊InstallDate,修改基數(shù)為十進制,將數(shù)值"1576224219"保存到記事本中,方便我們后續(xù)使用
百度搜索"Unix時間戳轉(zhuǎn)換工具",進入站長工具
或者地址(如果被屏蔽就用百度的辦法)
將我們之前保存的數(shù)值輸入,得到計算后的時間
這樣我們就知道了我們系統(tǒng)的安裝時間
然后我們再選擇計算機,右鍵快捷菜單,選擇管理選項
依次選擇
"事件查看器",-> "Windows日志"->"系統(tǒng)"
雙擊"系統(tǒng)"選項,在右側(cè)出現(xiàn)的"操作欄中",選擇"篩選當(dāng)前日志"
出現(xiàn)對話框
有一串?dāng)?shù)字(6005,6006,6008,6009)表示的含義如下
事件6005記錄事件日志啟動時間,也可以認為是系統(tǒng)的啟動時間。
事件6006記錄事件日志停止時間,也可以認為是系統(tǒng)關(guān)閉時間。
事件6008記錄異常關(guān)閉。
事件6009記錄在啟動過程中的操作系統(tǒng)版本和其他系統(tǒng)信息
在圖示位置輸入這串表示事件的ID
輸入內(nèi)容后
點擊確定,在圖示的位置就可以看到事件信息
我們可以解讀這里面的信息,比如:
在事件查看器里ID號為6006的事件表示事件日志服務(wù)已停止,如果你沒有在當(dāng)天的 事件查看器中發(fā)現(xiàn)這個ID號為6006的事件,那么就表示計算機沒有正常關(guān)機,可能是因為系統(tǒng)原因或者直接按下了計算機電源鍵,沒有執(zhí)行正常的關(guān)機操作造成的。當(dāng)你啟動系統(tǒng)的時候,事件查看器的事件日志服務(wù)就會啟動,這就是ID號為6005的事件正常重啟是6006,非正常重啟6008或者6009。
假如我們的電腦上有一個用戶賬戶user,兩個內(nèi)置賬戶Administrator賬戶(Administrador)和Guest賬戶。如果劫持RID值為500的內(nèi)置Administrator賬號,將RID值分配給Guest賬號,然后以Guest賬號和指定的密碼登陸設(shè)備,發(fā)現(xiàn)成功地以Guest登陸機器了,還可以執(zhí)行以下命令:
(1)、用cmd.exe打開console,可以看到是以Administrator 賬號運行的。
(2)、研究人員是以Guest賬號登陸的,可以運行whoami和檢查默認路徑查看。
(3)、Guest賬號仍然是Guests localgroup(本地組)的成員,可以使攻擊靜默進行。
(4)、可以執(zhí)行一些特權(quán)操作,比如向Windows受保護的文件夾system32中寫文件。
我們查看下我們電腦上的RID。
我們再次打開注冊表,依次展開
"HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesAdministrator"
若無法展開SAM表則需要右鍵單擊,在快捷菜單中選擇"權(quán)限",賦予Administrator完全控制權(quán)限,重新打開注冊表
查看管理員用戶"Administrator"的RID(相對標(biāo)識符)
Names子項中含有包括內(nèi)置賬號在內(nèi)的所有本地用戶賬號名。這些子項都保存為二進制值,定義了其類型屬性,賬號的RID是十六進制的
然后我們重新選擇"Users"表項中的"000001F4"鍵查看內(nèi)容,"F"記錄用戶登錄信息,"V"記錄用戶權(quán)限信息
雙擊打開"F"值
"0008"一行為用戶最后登錄時間;
"0018"一行為用戶設(shè)置密碼時間;
"0020"一行為賬戶過期時間。
我們再打開注冊表,依次展開
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWindows,查看ShutdownTime鍵
以上為正常的開關(guān)機時間,若系統(tǒng)斷電或死機,系統(tǒng)不一定會記錄時間更新信息。例如斷電或硬重啟時系統(tǒng)日志和注冊表中就不會記錄正常的關(guān)機時間
總結(jié)
以上是生活随笔為你收集整理的win10中查看开关机时间及查看admin的RID的方法的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java lock代码写法_java
- 下一篇: ts文件的编译和运行