Seviye 2 Soru 26

Öncelikle Winlogon oturum ekranında kullanıcısı gizlenen hesaplar listelenir. Bu amaçla Kayıt Defteri açılır:


Daha sonra “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList” anahtarındaki değerlerden gizli hesaplar listelenir. Bu kullanıcılar şu şekildedir: “Ahmet, Hesap, SiberMeydan

Daha sonra “wmic useraccount get sid, name” komutu ile SID değeri en küçük olan kullanıcı hesabı tespit edilir: “Hesap”.
Sonrasında Olay Günlüğü açılır. İnternette gerçekleştirilen araştırma sonucunda Windows 7 işletim sistemi için oturum açma kaydı için ID değeri 4624 olduğu görülür: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624
4624 Olay ID değeri için filtreleme yapıldığında tespit edilen kayıt için TargetLogonID değeri bulunur: 0xa94b8