系统所有者/用户披露

Windows

攻击者可能会尝试识别主要用户，当前登录的用户，常常使用系统的用户组，或识别用户是否正在使用系统。例如，他们可以通过检索帐户用户名或凭据转储（Credential Dumping）来执行此操作。攻击者可以使用其他披露技术以多种不同方式收集信息，因为用户和用户名详细信息在整个系统中很常见，也包括运行进程所有权，文件/目录所有权，会话信息和系统日志。

Mac

在 Mac 上，可以使用 users、w 和 who识别当前登录的用户。

Linux

在 Linux 上，可以使用 w 和 who 识别当前登录的用户 。

缓解

识别可能用于获取系统用户信息的不必要的系统实用程序或潜在的恶意软件，并在适当的情况下使用白名单工具（如 AppLocker、或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境，系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件，而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分。 监视可以收集系统和网络信息的进程和命令行参数的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息，如 Windows 管理规范和 PowerShell。