「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

Windows应急响应

  • 一、启动项分析
    • 1、msconfig
    • 2、gpedit.msc
    • 3、注册表
    • 4、msinfo32
    • 5、启动菜单
  • 二、计划任务分析
    • 1、任务计划程序
    • 2、schtasks
  • 三、服务自启动分析

一、启动项分析

很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。

1、msconfig

msconfig是Windows自带的系统配置实用程序,用来管理系统启动项、系统服务等。

WIN + R,输入msconfig,查看启动项中是否有异常的启动项目,有则禁用。

提示:Win10的启动项移动到任务管理器里面了。

2、gpedit.msc

gpedit.msc是Windows自带的本地组策略编辑器,可以查看启动/关机脚本。

WIN + R,输入gpedit.msc,打开本地组策略编辑器。

点击【Windows设置】-【脚本(启动/关机)】-【启动】,查看是否有异常的启动脚本,有则删除。

3、注册表

WIN + R,输入regedit,打开注册表。

1)用户设置的启动项是排查的重点,删除后不影响系统运行。

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2)系统设置的启动项,一般是第三方软件的驱动程序,谨慎删除,可能会对系统造成影响。

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3)系统启动项,不要随便删除,否则会影响系统的正常运行。

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

4、msinfo32

msinfo32是Windows自带的系统信息工具,可以查看系统的启动程序。

WIN + R,输入msinfo32,打开系统信息工具。

点【软件环境】-【启动程序】- 检查右侧启动程序是否有异常程序。

5、启动菜单

左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。

二、计划任务分析

很多恶意程序会把自己添加到计划任务中,在固定时间启动。

1、任务计划程序

控制面板里搜计划任务,打开任务计划程序。


或者WIN + R,输入taskschd.msc,打开任务计划程序。

检查是否有异常的计划任务。

2、schtasks

schtasks.exe是计划任务程序的命令执行方式,两者的操作实时同步。

打开cmd,输入schtasks,默认展示所有的计划任务。

三、服务自启动分析

WIN +R,输入services.msc,打开服务工具。

单击启动类型排序,重点查看启动类型为【自动】的服务。

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析相关推荐

  1. centos安装后两个启动项、_Windows安装Centos7双系统后Windows启动项消失

    方法一: 在Centos7下root登陆 编辑 /boot/grub2/grub.cfg vim /boot/grub2/grub.cfg 在第一行添加 menuentry "Windows ...

  2. 解决安装centos 7后Windows启动项丢失

    (1)很多地方用到Linux,今天就尝试一下安装,用的是Ultral制作Linux系统启动盘,以前是在虚拟机下安装的,并不存在启动项丢失的问题,安装Linux系统后启动后,我windows启动项没有了 ...

  3. centos下添加windows启动项

    安装windows.centos双系统,先安装windows系统,再安装centos系统,windows 版本为windows8,centos版本为centos8,装上centos后无法找到windo ...

  4. Deepin双系统找不到Windows启动项

    转载: 本帖13楼:http://tieba.baidu.com/p/4141750816 其实就是更新grub2,指令: sudo update-grub2 然后就会看到提示Found各种,最后出现 ...

  5. 惠普服务器停电后进不了系统,惠普电脑出现了startup menu 然后按f10进不去bios。进入的是Windows启动项...

    惠普电脑出现了startup menu 然后按f10进不去bios.进入的是Windows启动项以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我 ...

  6. Win7/8/10安装Centos7/Redhat7双系统丢失windows启动项的解决办法

    Win7/8/10安装Centos7/Redhat7双系统后可能会丢失windows启动项,这是因为Linux系统默认将mbr改写成grub2,新安装的Linux系统默认不识别windows下的ntf ...

  7. Windows启动项

    一.经典的启动--"启动"文件夹 单击"开始→程序",你会发现一个"启动"菜单,这就是最经典的Windows启动位置,右击"启动& ...

  8. Ubuntu 修复windows启动项

    打开终端输入命令 sudo gedit /etc/default/grub 修改GRUB_TIMEOUT="10" 然后在终端中输入sudo update-grub update ...

  9. 删除Mac中的Windows启动项

    Macintosh Air 2015年产 问题描述: 本打算安装Mac, Windows 8双系统, 但是没有成功, 所以就打算把Windows 8卸载了. 因为缺乏经验, 直接就在磁盘管理里面把Wi ...

最新文章

  1. mysql主从整套方案_Mysql主从方案
  2. CodeSmith实用技巧(十五):使用快捷键
  3. html5仿浏览器,前端H5-仿QQ浏览器for mac之动画效果(一)
  4. 快速部署Telegraf Influxdb
  5. 【转】深入浅出OOP(六): 理解C#的Enums
  6. C#与NET实战 第5章 进程、线程与同步 节选
  7. CVPR2020十个顶级开源数据集
  8. 约瑟芬公主把乔治放在了第三位,对吧
  9. mysql8 json_table_新特性解读 | MySQL 8.0 json到表的转换
  10. 在proteus中共阴数码管的驱动与使用
  11. matlab中邮递员问题实例,中国邮递员问题的求解实例.doc
  12. 《C++面向对象程序设计》✍千处细节、万字总结(建议收藏)
  13. IAR设置flash偏移地址问题icf文件
  14. python爬取问卷星内容_Python Selenium 问卷星自动填写
  15. golang 数学函数
  16. 电信业务经营许可年报流程图文指南,教你年报怎么填
  17. 课程设计-在校整理-10 基于知识图谱的医疗智能问答小程序实现示例
  18. android glide缺少方法,android - 无法膨胀且找不到类android支持设计的行为BottomSheetBehavior - 堆栈内存溢出...
  19. 古代人用什么来洗衣服?
  20. 纪中游记(7.11~7.22)

热门文章

  1. PyQt(Python+Qt)入门:Designer组件属性编辑界面中QWidget类相关属性详解
  2. Java的三大体系架构
  3. 爱丁堡 ANLP-Lecture 1(NLP Structure Morphology, Ambiguity, Part of Speech)
  4. UIResponder事件处理 _Lenny Kwok
  5. C语言之strcat函数
  6. LS1046修改寄存器翻转SATA引脚的N/P极性
  7. RuoYi-Flowable 工作流管理平台
  8. Leetcode_205_Isomorphic Strings
  9. 网络安全产品(一)FortiSIEM
  10. Dynamics 365 多租户?多实例?