打开系统的注册表

键盘输入win+r组合键出现运行窗口命令

输入regedit

按回车键，进入注册表编辑器

依次展开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion”，双击查看“InstallDate”键内容

双击InstallDate，修改基数为十进制，将数值“1576224219”保存到记事本中，方便我们后续使用

百度搜索“Unix时间戳转换工具”，进入站长工具

或者地址（如果被屏蔽就用百度的办法）

http://tool.chinaz.com/Tools/unixtime.aspx?jdfwkey=zfpdi&qq-pf-to=pcqq.c2c

将我们之前保存的数值输入，得到计算后的时间

这样我们就知道了我们系统的安装时间

然后我们再选择计算机，右键快捷菜单，选择管理选项

依次选择

“事件查看器”，-> “Windows日志”->“系统”

双击“系统”选项，在右侧出现的“操作栏中”，选择“筛选当前日志”

出现对话框

有一串数字（6005,6006,6008,6009）表示的含义如下

事件6005记录事件日志启动时间，也可以认为是系统的启动时间。

事件6006记录事件日志停止时间，也可以认为是系统关闭时间。

事件6008记录异常关闭。

事件6009记录在启动过程中的操作系统版本和其他系统信息

在图示位置输入这串表示事件的ID

输入内容后

点击确定，在图示的位置就可以看到事件信息

我们可以解读这里面的信息，比如：

在事件查看器里ID号为6006的事件表示事件日志服务已停止，如果你没有在当天的 事件查看器中发现这个ID号为6006的事件，那么就表示计算机没有正常关机，可能是因为系统原因或者直接按下了计算机电源键，没有执行正常的关机操作造成的。当你启动系统的时候，事件查看器的事件日志服务就会启动，这就是ID号为6005的事件正常重启是6006，非正常重启6008或者6009。

假如我们的电脑上有一个用户账户user，两个内置账户Administrator账户(Administrador)和Guest账户。如果劫持RID值为500的内置Administrator账号，将RID值分配给Guest账号，然后以Guest账号和指定的密码登陆设备，发现成功地以Guest登陆机器了，还可以执行以下命令：

（1）、用cmd.exe打开console，可以看到是以Administrator 账号运行的。

（2）、研究人员是以Guest账号登陆的，可以运行whoami和检查默认路径查看。

（3）、Guest账号仍然是Guests localgroup（本地组）的成员，可以使攻击静默进行。

（4）、可以执行一些特权操作，比如向Windows受保护的文件夹system32中写文件。

我们查看下我们电脑上的RID。

我们再次打开注册表，依次展开

“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesAdministrator”

若无法展开SAM表则需要右键单击，在快捷菜单中选择“权限”，赋予Administrator完全控制权限，重新打开注册表

查看管理员用户“Administrator”的RID（相对标识符）

Names子项中含有包括内置账号在内的所有本地用户账号名。这些子项都保存为二进制值，定义了其类型属性，账号的RID是十六进制的

然后我们重新选择“Users”表项中的“000001F4”键查看内容，“F”记录用户登录信息，“V”记录用户权限信息

双击打开“F”值

“0008”一行为用户最后登录时间；

“0018”一行为用户设置密码时间；

“0020”一行为账户过期时间。

我们再打开注册表，依次展开

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWindows，查看ShutdownTime键

以上为正常的开关机时间，若系统断电或死机，系统不一定会记录时间更新信息。例如断电或硬重启时系统日志和注册表中就不会记录正常的关机时间