鍵盤輸入win+r組合鍵出現運行窗口命令
輸入regedit
按回車鍵,進入注冊表編輯器
依次展開"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion",雙擊查看"InstallDate"鍵內容
雙擊InstallDate,修改基數為十進制,將數值"1576224219"保存到記事本中,方便我們后續使用
百度搜索"Unix時間戳轉換工具",進入站長工具
或者地址(如果被屏蔽就用百度的辦法)
將我們之前保存的數值輸入,得到計算后的時間
這樣我們就知道了我們系統的安裝時間
然后我們再選擇計算機,右鍵快捷菜單,選擇管理選項
依次選擇
"事件查看器",-> "Windows日志"->"系統"
雙擊"系統"選項,在右側出現的"操作欄中",選擇"篩選當前日志"
出現對話框
有一串數字(6005,6006,6008,6009)表示的含義如下
事件6005記錄事件日志啟動時間,也可以認為是系統的啟動時間。
事件6006記錄事件日志停止時間,也可以認為是系統關閉時間。
事件6008記錄異常關閉。
事件6009記錄在啟動過程中的操作系統版本和其他系統信息
在圖示位置輸入這串表示事件的ID
輸入內容后
點擊確定,在圖示的位置就可以看到事件信息
我們可以解讀這里面的信息,比如:
在事件查看器里ID號為6006的事件表示事件日志服務已停止,如果你沒有在當天的 事件查看器中發現這個ID號為6006的事件,那么就表示計算機沒有正常關機,可能是因為系統原因或者直接按下了計算機電源鍵,沒有執行正常的關機操作造成的。當你啟動系統的時候,事件查看器的事件日志服務就會啟動,這就是ID號為6005的事件正常重啟是6006,非正常重啟6008或者6009。
假如我們的電腦上有一個用戶賬戶user,兩個內置賬戶Administrator賬戶(Administrador)和Guest賬戶。如果劫持RID值為500的內置Administrator賬號,將RID值分配給Guest賬號,然后以Guest賬號和指定的密碼登陸設備,發現成功地以Guest登陸機器了,還可以執行以下命令:
(1)、用cmd.exe打開console,可以看到是以Administrator 賬號運行的。
(2)、研究人員是以Guest賬號登陸的,可以運行whoami和檢查默認路徑查看。
(3)、Guest賬號仍然是Guests localgroup(本地組)的成員,可以使攻擊靜默進行。
(4)、可以執行一些特權操作,比如向Windows受保護的文件夾system32中寫文件。
我們查看下我們電腦上的RID。
我們再次打開注冊表,依次展開
"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator"
若無法展開SAM表則需要右鍵單擊,在快捷菜單中選擇"權限",賦予Administrator完全控制權限,重新打開注冊表
查看管理員用戶"Administrator"的RID(相對標識符)
Names子項中含有包括內置賬號在內的所有本地用戶賬號名。這些子項都保存為二進制值,定義了其類型屬性,賬號的RID是十六進制的
然后我們重新選擇"Users"表項中的"000001F4"鍵查看內容,"F"記錄用戶登錄信息,"V"記錄用戶權限信息
雙擊打開"F"值
"0008"一行為用戶最后登錄時間;
"0018"一行為用戶設置密碼時間;
"0020"一行為賬戶過期時間。
我們再打開注冊表,依次展開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows,查看ShutdownTime鍵
以上為正常的開關機時間,若系統斷電或死機,系統不一定會記錄時間更新信息。例如斷電或硬重啟時系統日志和注冊表中就不會記錄正常的關機時間
看一臺電腦的運行記錄,可以按照以下步驟操作:
1.打開任務管理器:您可以通過同時按下“Ctrl+Shift+Esc”鍵或右鍵單擊任務欄并選擇“任務管理器”來打開任務管理器。
2.檢查“進程”選項卡:在“任務管理器”窗口中,選擇“進程”選項卡。 在這里您可以看到計算機上所有當前正在運行的進程。
3.檢查 CPU 和內存使用情況:“CPU”和“內存”列將顯示每個進程使用的 CPU 和內存資源的百分比。 您可以按這些列對列表進行排序,以查看哪些進程使用的資源最多。
4.檢查“性能”選項卡:任務管理器中的“性能”選項卡將顯示計算機 CPU、內存、磁盤和網絡使用情況的實時圖表。
5.檢查“事件查看器”:事件查看器是 Windows 中的內置工具,用于記錄各種系統事件,包括應用程序崩潰、警告和錯誤。 您可以通過同時按下“Windows+R”鍵,在“運行”對話框中鍵入“eventvwr.msc”,然后按 Enter 來打開事件查看器。
6.查看日志:在事件查看器中,您可以查看日志以查看是否存在與計算機性能相關的任何錯誤或警告。 您可以按日期和時間過濾日志以縮小搜索范圍。
通過執行這些步驟,您可以檢查計算機的運行記錄并確定可能影響其性能的任何問題。
win7系統為例進行演示,具體步驟如下所示。
1、點擊開始windows圖標進去,點擊運行。
2、彈出運行界面,輸入cmd,點擊確定。
3、進到dos命令行窗口界面,如下圖所示。
4、輸入獲取日期的命令WMIC BIOS get releasedate。
5、敲回車后,會打印出一些信息,第二行有一個日期的,這個就是生產日期了。
比如以下就可以看出是2014年3月17