42-1 应急响应之账户排查

一、用户信息排查

在服务器被入侵后，攻击者可能会建立相关账户（有时是隐藏或克隆账户），方便进行远程控制。攻击者会采用的方法主要有如下几种：

1. 直接建立一个新的账户：攻击者直接创建一个新的账户，有时为了混淆视听，账户名称与系统常用名称相似。

2. 激活一个系统中的默认账户：攻击者可能激活系统中的默认账户，但这个账户通常是不经常使用的。

3. 建立一个隐藏账户：在Windows系统中，攻击者可能建立一个隐藏账户，一般在账户名称最后加$符号。

无论攻击者采用哪种方法，都会在获取账户后，使用工具或利用相关漏洞将这个账户提升到管理员权限，然后通过这个账户任意控制计算机。

二、Windows 账户排查方法：

1. 命令行方法：

   1. 使用 net user 命令：在命令行中输入"net user"命令，可直接收集用户账户信息。若需查看某个账户的详细信息，可在命令行中输入"net user 用户名称"命令。
   2. 使用 wmic 命令：在命令行中输入"wmic useraccount get name/SID"命令，也可以查看系统中的用户信息。(name与SID选其中一个)

2. 图形界面方法：

   1. 使用计算机管理窗口：打开"计算机管理"窗口，单击"本地用