windows下通过net user add和powershell添加用户,sysmon仅仅采集到进程,而在windows安全日志可以看到账户添加信息
执行操作:
C:\Windows\system32>net user /add "jack" "fuckoff" 命令成功完成。 C:\Windows\system32>powershell Windows PowerShell 版权所有 (C) Microsoft Corporation。保留所有权利。 尝试新的跨平台 PowerShell https://aka.ms/pscore6 PS C:\Windows\system32> new-localuser -name "kaka" -NoPassword Name Enabled Description ---- ------- ----------- kaka True
打开windows安全日志,可以看到4720 账户成功添加的信息
已创建用户帐户。 使用者: 安全 ID: DESKTOP-CIBNM6P\bonel 帐户名: bonel 帐户域: DESKTOP-CIBNM6P 登录 ID: 0x37DBF 新帐户: 安全 ID: DESKTOP-CIBNM6P\kaka 帐户名: kaka 帐户域: DESKTOP-CIBNM6P 属性: SAM 帐户名: kaka 显示名称: <未设置值> 用户主体名称: - 主目录: <未设置值> 主驱动器: <未设置值> 脚本路径: <未设置值> 配置文件路径: <未设置值> 用户工作站: <未设置值> 上次设置的密码:<从不> 帐户过期: <从不> 主要组 ID: 513 允许委托给: - 旧 UAC 值: 0x0 新 UAC 值: 0x15 用户帐户控制: 已禁用的帐户 '不要求密码' - 已启用 '普通帐户' - 已启用 用户参数: <未设置值> SID 历史: - 登录时间(以小时计):全部 附加信息: 特权 -
已创建用户帐户。 使用者: 安全 ID: DESKTOP-CIBNM6P\bonel 帐户名: bonel 帐户域: DESKTOP-CIBNM6P 登录 ID: 0x37DBF 新帐户: 安全 ID: DESKTOP-CIBNM6P\jack 帐户名: jack 帐户域: DESKTOP-CIBNM6P 属性: SAM 帐户名: jack 显示名称: <未设置值> 用户主体名称: - 主目录: <未设置值> 主驱动器: <未设置值> 脚本路径: <未设置值> 配置文件路径: <未设置值> 用户工作站: <未设置值> 上次设置的密码:<从不> 帐户过期: <从不> 主要组 ID: 513 允许委托给: - 旧 UAC 值: 0x0 新 UAC 值: 0x15 用户帐户控制: 已禁用的帐户 '不要求密码' - 已启用 '普通帐户' - 已启用 用户参数: <未设置值> SID 历史: - 登录时间(以小时计):全部 附加信息: 特权 -
