在 Windows Server 2012 中，如果怀疑系统被黑客入侵并添加了隐藏的超级管理员账户，通常可以在注册表中查找相关条目来检查是否存在未知或隐藏的用户账户。以下是在注册表中可能需要检查的位置：

1. SAM 存储的账户信息：

• 注册表路径：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

• 注意：这个位置存储了所有本地账户的信息，但是 SAM 键下的数据对于普通用户是加密且不可读的。通常需要具有系统权限才能访问，并且即使有权限，数据也是以二进制格式存储，不易直接解读。

2. UserList 键值：

• 注册表路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

• 在此键下，每个账户名对应一个 DWORD 值。正常情况下，如果某个账户被设置为隐藏，则其对应的值会被设置为0。若黑客隐藏了一个管理员账户，可能会在这里找到线索，但不一定会明确显示密码或账户名。

3. 安全审计事件：

• 虽然不是直接在注册表中查看，但应该检查系统事件日志，特别是“安全”日志，查看是否存在与账户创建或权限更改相关的事件。

4. 组策略中的账户策略：

• 可以通过组策略编辑器 (gpedit.msc) 检查是否有关于账户策略的异常更改，例如新增了未知的特权用户组成员。

为了彻底调查，可能需要借助专业的工具或服务进行深入的安全审计，包括但不限于对注册表、系统日志、文件系统等多方面进行细致排查。同时，应联系专业安全人员或者采取系统恢复措施，避免进一步的数据泄露或系统破坏。