我正在尝试在 Windows 10 x64 图像上的 Windows 任务计划程序中查找任务。
我所知道的是,当这个任务被触发时,它会禁用一项我对此一无所知的服务。
我已手动浏览过任务计划程序几次,但没有找到它。
在我开始寻找任务之前,事件查看器和审核已被禁用,因此即使它之前已经运行过,也可能未被记录。
虽然我在事件查看器中找到了过滤审核的选项,但我不知道任务计划程序上是否有类似的东西。
我对网络安全还比较陌生,所以如果这是一个显而易见的问题,我深表歉意。
是否可以在任务计划程序中按操作过滤任务?
如果没有,为什么这是不可能的,是否有任何外部代码或程序可以用来缩小搜索范围?
答案1
如果您正在寻找列出计划任务的内容,以下 PowerShell 是否可以为您提供帮助:
Get-ScheduledTask | ForEach-Object {[pscustomobject]@{
Name = $_.TaskName;
Path = $_.TaskPath;
LastResult = $(($_ | Get-ScheduledTaskInfo).LastTaskResult);
NextRun = $(($_ | Get-ScheduledTaskInfo).NextRunTime);
Status = $_.State;
Command = $_.Actions.execute;
Arguments = $_.Actions.Arguments }
} | Out-GridView
您应该能够将其粘贴到以管理员身份运行的 PowerShell 或 PowerShell ISE 窗口中,它将提供可使用 GridView 控件进行过滤的数据的 GridView。
答案2
你确定这是计划任务在执行的操作吗?你在这种情况下提到了网络安全,这让我相信该服务是被恶意禁用的。
自动运行是一个非常有用的实用程序,它显示 Windows 中的许多加载点,包括计划任务。
- 使用过滤字段来帮助缩小搜索范围。
- 使用选项>扫描选项并检查检查VirusTotal.com检查与 VirusTotal 相关的条目(不过,禁用服务的简单脚本/可执行文件可能不会显示)。
- 移除磁盘并将其连接到另一台机器(或在同一台机器上启动另一个 Windows 操作系统),然后选择文件>分析离线系统. 这可以揭示出如果存在 rootkit 则可能隐藏的项目。