Selasa, 05 April 2011

Registry Mania : Melihat account administrator (built-in)

Kita akan melihat suatu account yang amat dirindukan oleh kebanyakan pemakai Windows yang berbasis Windows NT, account administrator !  Mengapa?  Dengan account ini, kita seolah-olah menjadi dewa bagi kehidupan sistem operasi Windows.  Sekarang kita pergi ke subkey :

\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\%RID%\X


Lokasi tepatnya adalah di :

 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

Pada subkey 000001F4 ini akan tedapat dua nama value, yaitu F dan V.   Account administrator built-in akan selalu ada di subkey ini.  Peta visual dari subkey tersebut dapat kita lihat pada gambar.


Gambar :  lokasi subkey admin built in

Kita akan melihat secara lebih detail kedua nama value tersebut.


Melihat nama value F [account administrator (built-in)]

Pertama kali kita akan melihat nama value F.  Panjangnya adalah tetap (fixed lenght)  sepanjang 80 bytes.
Pergilah ke lokasi subkey :
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

Pada panel sebelah kanan akan terdapat dua nama value,  klik ganda nama value F.  maka akan tampil jendela Edit binary Value.  Tampilannya seperti terlihat pada gambar 7.2.


Gambar :  isi dari nama value F

Oke ! sekarang kita ekspor datanya dan menyimpan datanya dalam file format TXT.    Saya anggap Anda telah melakukan ekspor data.  Jika kita lihat isi file hasil ekspor adalah seperti terlihat pada listing/gambar berikut :




Pada  gambar/listingdi atas saya sudah memberikan kotak-kotak pembatas berikut keterangan makna kotak tersebut. Maksudnya biar lebih jelas dan gampang dimengerti.  Terlihat terlalu tolol ya? Maafkan saya atas hal tersebut, maklum pecundang sih…:P

Keterangan offset :
Last logon                                  : 08 – 0F hex
Password Last Set                     : 18 – 1F hex
Account Expires                         : 20 – 27 hex
User Number                             : 30 – 33 hex
AA (=account active)                 : 38 hex
PNE (Password Never Expire)   : 39 hex
Country Code                            : 3C – 3D hex
IPC (Invalid Password Count)    : 40 – 41 hex
NOL (Number Of Logons)        : 42 – 43 hex

•    Last logon : menunjukkan kapan terakhir kali account tersebut melakukan login di komputer.  Berisi data dalam NT time format, isinya nulls jika tidak pernah melakukan logon.
•    Password Last Set : menunjukkan kapan terakhir kali password diset. Berisi data NT time format, isinya nulls jika tidak pernah melakukan perubahan.
•    Account Expires : menunjukkan kevalidan dari suatu account. Berisi data NT time format, isinya nulls jika diset dengan data : not expire  (selalu valid).
•    User Number : menunjukkan kode RID dari pemakai. Disimpan dalam mode “reversed hex”  artinya data yang ada dibalik urutannya, baru dapat dibaca dengan benar.  Pada contoh data : f4 01 00 00 dibaca menjadi 00 00 01 f4. 
•    AA (= Account Active) : Menunjukkan status dari account.  Apakah account dalam kondisi aktif ataukah tidak. Sedangkan kemungkinan isiannya adalah sebagai berikut :
    0/2/4/6/8/A/C/E = aktif
    1/3/5/7/9/B/F =  tidak aktif (account disable)
•    PNE (Password Never Expire):  Menunjukkan masa berlakunya password. Isian yang mungkin ada adalah sebagai berikut :
    4 = password habis masa berlakunya
    2/3/6/7/A/B/E/F=Password tidak pernah berakhir masa berlakunya
•    Country Code : Menunjukkan kode negara. Disimpan dalam mode reverse hex.  Nilai masukannya adalah seperti terlihat pada tabel.

TABEL : Country Code
=================================================
000 (SystemDefault)
001 (UnitedStates)
002 (Canada(French))
003 (LatinAmerica)
031 (Netherlands)
032 (Belgium)
033 (France)
034 (Spain)
039 (Italy)
041 (Switzerland)
044 (UnitedKingdom)
045 (Denmark)
046 (Sweden)
047 (Norway)
049 (Germany)
061 (Australia)
081 (Japan)
082 (Korea)
086 (China(PRC))
088 (Taiwan)
099 (Asia)
351 (Portugal)
358 (Finland)
785 (Arabic)
972 (Hebrew)
=================================================

•    IPC (Invalid Password Count):  Menyimpan data berapa kali kesalahan pemasukan password dilakukan. Disimpan dalam mode reverse  hex, akan direset setelah terjadi logon yang benar.
•    NOL (No. of Logons):  Jumlah logon yang telah dilakukan.  Disimpan dalam mode reverse hex.



Bagaimana membaca data  ?

Dari data di atas,  maka kita dapat membaca isi nama value F secara ringkas seperti uraian berikut.

•    Last logon : 8a 5a 93 b9 18 62 c5 01
Dengan memakai NTDATE didapatkan hasil : Thu, 26 May 2005 17:31:18.2106250.  Artinya logon terakhir kali dilakukan hari kamis tanggal 26 Mei 2005 jam 17.31.
•    Password Last Set : d6 34 95 41 bd 8b c4 01
Jika memakai program NTDATE didapatkan hasil : Thu, 26 Aug 2004 22:37:23.8593750.  Artinya pemakai terakhir kali mengubah passwordnya  hari kamis tanggal 26 Aug 2004 jam 22:37.
•    Account Expires : ff ff ff ff ff ff ff 7f
Ketika saya masukkan dengan NTDATE, ternyata hasil yang dimasukkan kacau.  Sepertinya, Account ini tak pernah expires.
•    Last Incorrrect password : 00 00 00 00 00 00 00 00
Artinya tidak pernah terjadi kesalahan memasukkan data.
•    UserNumber
Nomor kode pemakai (RID) adalah 1F4.
•    AA (=account active) : 0
0 berarti account dalam kondisi aktif.
•    PNE (Password Never Expire)     : 2
Angka 2 berati never.  Alias berlaku terus.
•    Country Code : 00 00
00 00 menunjukkan country code default system.
•    IPC (Invalid Password Count) : 00 00
Nilai 0 menunjukkan, tidak pernah terjadi  kesalahan pemasukan password.
•    NOL (no. of Logons) : 01 00
Dibalik datanya 00 01 jadi sama dengan 1. Jadi dapat disimpulkan bahwa pemakai telah melakukan logon 1 kali.

Mengenai  program NTDATE  akan kita bahas tersendiri.  Nanti .

Note : [Remake BDRW:MKWXP-22]
Tri Amperiyanto

1 komentar:

  1. gan, account administrator built-in nya kayak ke hidden gitu pas ane bikin account lain (jadi admin). Cara munculinnya lagi di welcome gmna?

    BalasHapus