DIGITAL FORENSICS: Security Identifier (SID)

DIGITAL FORENSICS: Security Identifier SID คือ

Security Identifier (SID) เป็นค่าที่ระบุถึง Object ประจำตัว User หรือ Account นั้น ๆ เพื่อใช้ระบุการรักษาความปลอดภัยในระบบปฏิบัติการ Windows (พูดง่าย ๆ คือเอาไว้เพื่อประกอบการตั้งค่าการควบคุมการเข้าถึงทรัพยากรในระบบ เช่นการใช้งาน Share Files หรือ ทรัพยากรอื่น ๆ ในระบบ)

WMIC

Get SID of user - Windows Command Line

wmic useraccount get name,sid

SID  wikihow.com

ตัวอย่าง SID Account ทั่วไป ของ System

S-1-1-0 Everyone

S-1-3-0 Creator Owner

S-1-5-1 Dialup

S-1-5-2 Network

S-1-5-3 Batch

S-1-5-4 Interactive

S-1-5-7 Anonymous

S-1-5-9 Enterprise Domain Controllers

S-1-5-11 Authenticated Users

S-1-5-13 Terminal Server Users

ตัวอย่าง SID Account ทั่วไปของ User

S-1-5-{Domain}-500 Administrator

S-1-5-{Domain}-501 Guest

S-1-5-{Domain}-512 Domain Admins

S-1-5-{Domain}-513 Domain Users

S-1-5-{Domain}-514 Guests

S-1-5-{Domain}-515 Domain Computers

S-1-5-{Domain}-516 Domain Controllers

S-1-5-{Domain}-518 Schema Admins

S-1-5-{Domain}-519 Enterprise Admins

S-1-5-{Domain}-544 Administrators

S-1-5-{Domain}-545 Users

http://www.mvpskill.com

S = ค่าของ String ที่ระบุว่าเริ่มต้น SID

1 = ค่า Version ของ SID นั้น ๆ

5 = ค่าระบุ Identifier

21-3273191534-3683084754-2821217130 = ค่า SID ของ Local Computer หรือ Domain Computer ประจำเครื่อง หรือ ประจำ Domain

500 = สิทธิของ SID นั้น ๆ เช่น 500 หมายถึงได้สิทธิเป็น Administrator (สามารถนำไปหาค่าได้จากตารางเบื้องต้นด้านบน)

ที่มา: By Suttipan Passornmvpskill  https://bit.ly/2Evrys3

        How to Find a User's Security Identifier (SID) in Windows

       Windows Registry Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#windowsforensics #WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud