windows下通过net user add和powershell添加用户,sysmon仅仅采集到进程,而在windows安全日志可以看到账户添加信息
执行操作:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | C:\Windows\system32>net user /add "jack" "fuckoff"命令成功完成。C:\Windows\system32>powershellWindows PowerShell版权所有 (C) Microsoft Corporation。保留所有权利。尝试新的跨平台 PowerShell https://aka.ms/pscore6PS C:\Windows\system32> new-localuser -name "kaka" -NoPasswordName Enabled Description---- ------- -----------kaka True |
打开windows安全日志,可以看到4720 账户成功添加的信息
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 | 已创建用户帐户。使用者: 安全 ID: DESKTOP-CIBNM6P\bonel 帐户名: bonel 帐户域: DESKTOP-CIBNM6P 登录 ID: 0x37DBF新帐户: 安全 ID: DESKTOP-CIBNM6P\kaka 帐户名: kaka 帐户域: DESKTOP-CIBNM6P属性: SAM 帐户名: kaka 显示名称: <未设置值> 用户主体名称: - 主目录: <未设置值> 主驱动器: <未设置值> 脚本路径: <未设置值> 配置文件路径: <未设置值> 用户工作站: <未设置值> 上次设置的密码:<从不> 帐户过期: <从不> 主要组 ID: 513 允许委托给: - 旧 UAC 值: 0x0 新 UAC 值: 0x15 用户帐户控制: 已禁用的帐户 '不要求密码' - 已启用 '普通帐户' - 已启用 用户参数: <未设置值> SID 历史: - 登录时间(以小时计):全部附加信息: 特权 - |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 | 已创建用户帐户。使用者: 安全 ID: DESKTOP-CIBNM6P\bonel 帐户名: bonel 帐户域: DESKTOP-CIBNM6P 登录 ID: 0x37DBF新帐户: 安全 ID: DESKTOP-CIBNM6P\jack 帐户名: jack 帐户域: DESKTOP-CIBNM6P属性: SAM 帐户名: jack 显示名称: <未设置值> 用户主体名称: - 主目录: <未设置值> 主驱动器: <未设置值> 脚本路径: <未设置值> 配置文件路径: <未设置值> 用户工作站: <未设置值> 上次设置的密码:<从不> 帐户过期: <从不> 主要组 ID: 513 允许委托给: - 旧 UAC 值: 0x0 新 UAC 值: 0x15 用户帐户控制: 已禁用的帐户 '不要求密码' - 已启用 '普通帐户' - 已启用 用户参数: <未设置值> SID 历史: - 登录时间(以小时计):全部附加信息: 特权 - |
标签:
安全分析
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」