应急响应 - Windows启动项分析，Windows计划任务分析，Windows服务分析

风晓 2024-01-06 12:10:29  51852 赞同 0 反对 0

分类：资源标签： Windows

一、启动项分析很多恶意程序会把自己添加到系统启动项中，在开机时自动运行。

1、msconfig
msconfig是Windows自带的系统配置实用程序，用来管理系统启动项、系统服务等。

WIN + R，输入msconfig，查看启动项中是否有异常的启动项目，有则禁用。

提示：Win10的启动项移动到任务管理器里面了。

2、gpedit.msc
gpedit.msc是Windows自带的本地组策略编辑器，可以查看启动/关机脚本。

WIN + R，输入gpedit.msc，打开本地组策略编辑器。

点击【Windows设置】-【脚本（启动/关机）】-【启动】，查看是否有异常的启动脚本，有则删除。

3、注册表
WIN + R，输入regedit，打开注册表。

1）用户设置的启动项是排查的重点，删除后不影响系统运行。

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2）系统设置的启动项，一般是第三方软件的驱动程序，谨慎删除，可能会对系统造成影响。

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3）系统启动项，不要随便删除，否则会影响系统的正常运行。

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

4、msinfo32
msinfo32是Windows自带的系统信息工具，可以查看系统的启动程序。

WIN + R，输入msinfo32，打开系统信息工具。

点【软件环境】-【启动程序】- 检查右侧启动程序是否有异常程序。

5、启动菜单
左下角【开始】-【所有程序】-【启动】，打开是一个目录，检查里面有没有异常启动项。

二、计划任务分析
很多恶意程序会把自己添加到计划任务中，在固定时间启动。

1、任务计划程序
控制面板里搜计划任务，打开任务计划程序。

或者WIN + R，输入taskschd.msc，打开任务计划程序。

检查是否有异常的计划任务。

2、schtasks
schtasks.exe是计划任务程序的命令执行方式，两者的操作实时同步。

打开cmd，输入schtasks，默认展示所有的计划任务。

三、服务自启动分析
WIN +R，输入services.msc，打开服务工具。

单击启动类型排序，重点查看启动类型为【自动】的服务。

如果您发现该资源为电子书等存在侵权的资源或对该资源描述不正确等，可点击“私信”按钮向作者进行反馈；如作者无回复可进行平台仲裁，我们会在第一时间进行处理！

评价 0 条