如何使用 cmd 将 Desktops.exe 设置为自动运行程序

Question 1

首先：你做反了。
首要任务是清理机器。
唯一可靠的方法是从救援介质启动并从那里扫描/清理机器。

但有时你别无选择。例如：当你的机器使用某种形式的磁盘加密时，你从其他媒体启动时无法访问硬盘。

在这种情况下，以“带命令提示符的安全模式”启动它。
然后运行 regedit（有一个 GUI，但当时没有运行 Explorer shell）。
在 regedit 中转到 HKLM\Software\Microsoft\Windows\CurrentVersion\Run。将自动运行程序作为该键中的额外条目添加。
或者，您可以使用 REG.EXE 命令从命令行执行相同操作。

（在您执行此操作时，最好从 Run 键中删除所有其他条目。其中一个可能是恶意软件的一部分。您可以使用 Regedit 的导出功能将它们临时保存在文件中。）

另一种方法是将登录 shell 从 explorer.exe 更改为文件管理器（如 TotalCommander 或 DirOpus）。
有时添加自动运行条目不起作用，但使用替代 shell 可以。
该 shell 位于 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon 键中。您必须为此更改“Shell”条目的值（您可以使用可执行文件的完整路径）。

请注意在恶意软件处于活动状态时添加依赖键盘输入的额外程序可能无法正常工作。恶意软件可以轻松劫持任何键盘输入，从而阻止您的程序激活。

Answer

首先：你做反了。
首要任务是清理机器。
唯一可靠的方法是从救援介质启动并从那里扫描/清理机器。

但有时你别无选择。例如：当你的机器使用某种形式的磁盘加密时，你从其他媒体启动时无法访问硬盘。

在这种情况下，以“带命令提示符的安全模式”启动它。
然后运行 regedit（有一个 GUI，但当时没有运行 Explorer shell）。
在 regedit 中转到 HKLM\Software\Microsoft\Windows\CurrentVersion\Run。将自动运行程序作为该键中的额外条目添加。
或者，您可以使用 REG.EXE 命令从命令行执行相同操作。

（在您执行此操作时，最好从 Run 键中删除所有其他条目。其中一个可能是恶意软件的一部分。您可以使用 Regedit 的导出功能将它们临时保存在文件中。）

另一种方法是将登录 shell 从 explorer.exe 更改为文件管理器（如 TotalCommander 或 DirOpus）。
有时添加自动运行条目不起作用，但使用替代 shell 可以。
该 shell 位于 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon 键中。您必须为此更改“Shell”条目的值（您可以使用可执行文件的完整路径）。

请注意在恶意软件处于活动状态时添加依赖键盘输入的额外程序可能无法正常工作。恶意软件可以轻松劫持任何键盘输入，从而阻止您的程序激活。

Question 2

打开文件：

openfiles /Query /FO:csv | more

查看NetBIOS网络打开文件：

net files

进程命令行、标题、Pid：

Wmic process get CommandLine, name, ProcessId | more

进程路径、标题、Pid：

Wmic process get ExecutablePath, name, ProcessId | more

网络主动流程：

netstat -aon | findstr [1-9]\. | more

网络活动进程名称:

netstat -baon | more

作业列表：

wmic job list STATUS

自动运行列表：

wmic startup list full | more

查看导入的dll模块（Embarcadero或者Borland版本）：

tdump -w hal*.dll | find "Imports from "

删除所有权限并允许用户禁用所有：

cacls <filename> /T /C /P %username%:N

终止指定的进程以及由其启动的所有子进程：

taskkill /PID <pid1> /PID  <pid2>  /PID  <pid3>  /T

Answer