如何检测Windows启动事件是否运行了调用powershell脚本的批处理文件

要检测Windows启动事件是否运行了调用PowerShell脚本的批处理文件，可以通过以下步骤进行：

创建一个批处理文件（例如：check_startup.bat），用于检测Windows启动事件。
在批处理文件中，使用Windows事件查看器（Event Viewer）命令行工具（wevtutil.exe）来查询系统事件日志，以检测启动事件是否发生。
在批处理文件中，使用Windows事件查看器（Event Viewer）命令行工具（wevtutil.exe）来查询系统事件日志，以检测启动事件是否发生。
该命令会查询系统事件日志中由Microsoft-Windows-Winlogon提供程序生成的EventID为12的事件，这是Windows启动事件的ID。
将查询结果输出到一个文本文件中，以便后续处理。
将查询结果输出到一个文本文件中，以便后续处理。
使用PowerShell脚本来解析文本文件，判断启动事件是否发生了调用PowerShell脚本的批处理文件。
使用PowerShell脚本来解析文本文件，判断启动事件是否发生了调用PowerShell脚本的批处理文件。
将上述PowerShell脚本保存为check_startup.ps1文件。
在批处理文件中调用PowerShell脚本来检测启动事件。
在批处理文件中调用PowerShell脚本来检测启动事件。

这样，当Windows启动事件发生时，批处理文件会调用PowerShell脚本来检测启动事件是否运行了调用PowerShell脚本的批处理文件。根据检测结果，可以进行相应的处理或记录日志。

请注意，以上答案中没有提及具体的腾讯云产品和产品介绍链接地址，因为该问题与云计算品牌商无关。如需了解腾讯云相关产品和服务，请参考腾讯云官方文档或咨询腾讯云官方支持。

相关·内容

运维必学 | 初识介绍-从零开始学Windows批处理(Batch)编程系列教程

目前Windows中的批处理包含两类：Windows DOS (BAT) 批处理和 PowerShell 批处理 DOS 批处理：基于Windows DOS命令的，用来自动地批量地执行DOS命令以实现特定操作的脚本...PowerShell 批处理 : 基于强大的.NET，是一种用于 Windows 操作系统的脚本语言和命令行工具。...Q: 如何学习Windows bat（批处理）?...call而直接调用别的批处理文件，那么执行完那个批处理文件后将无法返回当前文件并执行当前文件的后续命令，温馨提示:同一目录可以不加路径。...@echo off echo "开始调用，Call 到 notepad.bat call notepad.bat echo "调用完毕，回到 %0.bat" pause start: 启动一个单独的窗口运行指定的程序或命令

5333 0

Avos Locker 远程访问盒子，甚至在安全模式下运行

还有其他迹象表明，在某些攻击中，存在横向移动和其他恶意行为指标，这些指标保存在某些机器的事件日志中。例如，这个批处理文件是在运行它的同一台机器上创建的，就在攻击之前。...在这种情况下，有一个事件日志条目显示正在执行的 base64 编码的 PowerShell 脚本，结果输出到名为execute.bat的文件中，然后运行该文件，最后将其删除。...Sophos Rapid Response 创建了一个图表，突出显示其中一个批处理文件运行的后果。批处理文件在计算机重新启动到安全模式之前运行。...该脚本禁用 Windows 更新并尝试禁用 Sophos 服务，但篡改保护功能阻止批处理脚本成功。...行为检测规则Exec_6a和Exec_15a检测（并阻止）了威胁参与者的各种活动。Intercept X 遥测显示，当勒索软件攻击者试图运行其可执行文件时，会调用CryptoGuard保护机制。

1.3K3 0

Powershell与威胁狩猎

Powershell简介 PowerShell是一种功能强大的脚本语言和shell程序框架，主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。...百度百科解释： Windows PowerShell 是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。...一条cmdlet是一条轻量命令，Windows PowerShell运行时间在自动化脚本的环境里调用它。...随着PowerShell攻击技术的不断成熟，攻击者为了规避防护和日志记录进行了大量的代码混淆，在执行代码之前很难发现或确认这些代码实际上会做些什么事情，给攻击检测和取证造成了一定的困难，因此微软从PowerShell5.0...那么我们大胆的推测一下，是否可以通过命令行行为监控在网内进行简单有效的威胁狩猎。

2.5K2 0

Windows维权之粘滞键项维权

sethc.exe替换为Utilman.exe（快捷键为: Win + U）或者osk.exe（屏幕上的键盘Win + U启动再选择）Narrator.exe (启动讲述人Win + U启动再选择) Magnify.exe...(放大镜Win + U启动再选择）之后在目标主机上按5次shift即可触发后门代理(中间会有一个弹窗迅速闪过，用于执行命令，笔者也未捕获到)之后在empire中成功反弹后门代理：Powershell粘性键持久性技术是众所周知的...，一些攻击者者在网络攻击期间也常常使用它，除了上述的Metasploit和Empire之外，我们还可以使用脚本来自动执行此方法，Preston Thornburg编写了以下PowerShell脚本，该脚本可以通过修改注册表来实现持久性.../HanKooR/Sticky-Keys )提供了一个额外的选项，把系统控制台给用户，该工具的使用较为简单，下载批处理文件之后下目标主机执行即可虽然执行时可能会有一些小错误，但是执行结果没有任何问题，我们可以按下...5次shift来调用命令行：

2651 0

神兵利器 - Invisi-Shell 绕过所有Powershell安全功能

将你的Powershell脚本隐藏在目标下!...Invisi-Shell通过与.Net程序集挂钩，绕过了所有Powershell的安全特性（脚本块记录、模块记录、转录、AMSI）钩子是通过CLR Profiler API进行的。...这仍然是作为POC的初步版本。该代码仅适用于x64进程，并在Powershell V5.1下进行了测试。...使用方法将编译好的InvisiShellProfiler.dll与根目录下的两个批处理文件（RunWithPathAsAdmin.bat & RunWithRegistryNonAdmin.bat）从.../x64/Release/文件夹复制到同一文件夹运行其中一个批处理文件(取决于你是否有本地管理员权限) Powershell控制台将运行使用exit命令（不要关闭窗口）退出powershell，让批处理文件进行适当的清理

9872 0

粘滞键项权限维持

5次shift调用cmd来添加用户，之后再次登录： ?...注意这里可以将sethc.exe替换为Utilman.exe（快捷键为: Win + U）或者osk.exe（屏幕上的键盘Win + U启动再选择） Narrator.exe (启动讲述人Win + U...Powershell 粘性键持久性技术是众所周知的，一些攻击者者在网络攻击期间也常常使用它，除了上述的Metasploit和Empire之外，我们还可以使用脚本来自动执行此方法，Preston Thornburg...编写了以下PowerShell脚本，该脚本可以通过修改注册表来实现持久性 $registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion...批处理文件2 与批处理文件1方式类似，Sticky-Keys项目(https://github.com/HanKooR/Sticky-Keys )提供了一个额外的选项，把系统控制台给用户，该工具的使用较为简单

1.2K2 0

ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

Red Canary分析了过去五年里，其客户环境中发生的一万多起恶意事件，并将恶意事件中使用的技术与ATT&CK框架进行了映射。...“Powershell”备受攻击者青睐 PowerShell是Windows操作系统中包含的功能强大的交互式命令行界面和脚本环境。...像许多核心平台实用程序一样，PowerShell库很容易获得，因此也很容易实现，能够暴露任意进程中的完整PowerShell功能。那么该如何进行检测呢？进程监控是最普遍有效的技术。...Windows的常用脚本语言包括VBScript和PowerShell，但也可以采用命令行批处理脚本的形式。安全工具和人工分析的快速发展让攻击者很难使用公开的攻击载荷或者直接从磁盘获取相关载荷。...在Windows上，Windows脚本宿主（WSH）最简单的检测用例是基于process ancestry的。

1.5K1 0

挖矿恶意程序纪实分析之 Windows 篇

b) 启动Windows32_Update服务 c) 调用系统自带”Windows 事件命令行工具wevtutil.exe清理日志信息清除windows powershell启动运行日志...清除windows日志之安全日志清除windows日志之系统日志安全日志和系统日志比较常见，windows powershell日志记录的是系统windows powershell脚本运行的痕迹，...除非在整个入侵或者渗透过程中，攻击者利用powershell执行了某些指令？可是如何查看其执行的指令呢？是否预示。。。？毕竟现在还不清楚入侵手段。...也就是压缩档文件update.exe是如何进入到用户系统的，目前不知道，还有整个分析过程没有发现“powershell”命令运行痕迹，结合run.bat里面清除”powershell”日志，是否有可能是利用某些漏洞攻击手法...（比如doc文档攻击，里面调用powershell命令下载文件执行？

2.9K3 0

11.反恶意软件扫描接口 (AMSI)

AMSI一些可能失效的地方比如：从WMI名字空间、注册表、事件日志等非常规位置加载的脚本、不用 powershell.exe 执行(可用网络策略服务器之类的工具)的 PowerShell 脚本等。...当脚本准备好提供给脚本引擎时，应用程序可以调用 Windows AMSI API 来请求对内容进行扫描。这样，就可以在决定继续执行之前安全地确定脚本是否是恶意的。即使脚本是在运行时生成的，也是如此。...AMSI 的工作原理当用户执行脚本或启动 PowerShell 时，AMSI.dll 被注入进程内存空间。在执行之前，防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。...其实不难理解，首先我们要知道我们的恶意脚本是如何注入内存执行的 bypass 杀毒软件时我们的脚本一定是模糊处理的，但是无论我们什么样模糊处理到注入内存执行的时候一定是纯净，清晰的代码，不然脚本引擎无法理解和执行我们的恶意脚本...毫不意外，amsi检测到并拦截了powershell去执行我们的脚本。

4.2K2 0

Neurevt 木马与窃密程序相结合，针对墨西哥企业

入侵恶意行为从混淆的恶意 PowerShell 命令开始，该命令会下载一个 Neurevt 家族的恶意文件。攻击者绕过端点的 PowerShell 执行策略，下载新的可执行文件。...vbs并启动 Windows Shell 运行批处理文件 C:\LMPupdate\set\183.bat。...启动另一个脚本 48551.bat：通过进程注入，进一步拉取可执行文件。 http://morningstarlincoln.co.uk/的 IP 地址为 79.170.44.146。...检测逃避 Explorer.exe 进程禁用 Windows 防火墙，还修改Internet Explorer 安全域配置。...Neurevt 会监视来自对话框、消息框、菜单或滚动条中的按键和鼠标活动的输入事件而生成的消息。

4963 0

看我一招鲜 | BAT转EXE快速生成

这个.bat/.cmd格式的批处理文件可以直接通过windows自带的记事本或者是其他的文本编辑编辑即可。如下图为一个简单的bat批处理文件，以及直接在系统中双击运行测试的结果。...Echo on/off也就是回显是否开，ver是查看版本号，rem是注释， ping就是常用的查看网络状态是否正常的命令。 Pause就是暂停执行。...03 FTVIEW支持的脚本语言-PowerShell 通过FTVIEW SE软件可以发现是支持脚本语言的，他支持的脚本语言为PowerShell。...意思也就是可以通过编写后缀为.PS1的PowerShell脚本文件，然后就可以在FTVIEW SE中执行了。...理论上讲powershell是比cmd更强大的语言，同时Powershell会兼容cmd的，但为啥powershell不行不是这个文章的重点，重点是如何能把这个.bat文件在FTVIEW中让他执行起来。

4.6K3 0

运维实战：Windows服务挂掉了怎么办，通过Bat脚本实现自动重启

大家在日常运维当中，如果Windows服务器的服务挂掉了怎么办，比如数据库、Tomcat、Redis等等。...这里给大家介绍通过Bat脚本的方式，实现异常Windows服务的重启，这样再也不用担心服务器因为应用服务挂掉，还需要火急火燎的处理问题了。当然前提是你的应用服务应该配置为Windows服务的方式启动。...启动成功之后的效果服务启动后，重新执行Bat脚本，效果如下图三、封装为服务的方式运行建议把Bat脚本打包为Windows服务器的方式运行，如果直接使用cmd窗口运行的话，有被关掉的风险，使用后台运行的方式更加可靠...官网：http://www.nssm.cc/usage 3.2 Windows服务程序将批处理脚本作为Windows服务运行的方法是编写一个简单的Windows服务程序，然后在该服务程序中调用批处理文件...创建一个C# Windows服务项目，并在其中添加对批处理文件的调用逻辑。

1.9K2 0

如何在 Windows 10上创建和运行批处理文件

你还可以使用 PowerShell 等其他工具编写更高级的脚本。然而，当你需要运行命令来改变设置、自动化例程、启动应用程序或启动网站时，使用带有命令提示符的批处理文件是一个方便的选择。...如何在 Windows 10上创建批处理文件 创建批处理(脚本或批处理脚本)文件的过程很简单。你只需要一个文本编辑器和一些基本的命令行知识。...如何在 Windows 10 上运行批处理文件 在 Windows 10 上，你至少可以用三种方式运行批处理文件。你可以使用文件资源管理器或命令提示符按需运行它。...启动时运行批处理文件 如果你希望每次登录到 Windows 10 帐户时执行一系列命令，你可以将脚本放在启动文件夹中以保存额外的步骤，而不是使用任务计划程序。...要在 Windows 10上启动脚本，请使用以下简单步骤: 打开文件浏览器浏览到带有批处理文件的文件夹右键单击批处理文件并选择复制选项使用 Windows 键 + r 快捷键打开 Run 命令

26.6K4 0

围绕PowerShell事件日志记录的攻防博弈战

随之而来，如何躲避事件日志记录成为攻防博弈的重要一环，围绕PowerShell事件查看器不断改善的安全特性，攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据，以及事件记录的完整性。...具备LotL攻击特性，攻击者轻松达到攻击目的的同时躲避常见的攻击检测和入侵防御系统：PowerShell在众多Windows操作系统中是默认安装的，这类系统自带的、受信任的工具，反恶意软件极难检测和限制...包括用于访问WinRM的用户名和身份验证机制； • 事件ID 142：如果远程服务器禁用了WinRM，则客户端在尝试启动远程Shell连接时将产生该记录； Microsoft-Windows-PowerShell...，这个时期，攻击思路更多的体现在如何降级到PowerShell v2版本随着PowerShell攻击技术的不断成熟，攻击者为了规避防护和日志记录进行了大量的代码混淆，在执行代码之前很难发现或确认这些代码实际上会做些什么事情...set-SBLLogSize -MaxSizeMB 1000 Enalbe-SBL 或者通过GPO启用PowerShell脚本块日志记录功能并记录脚本文件的调用信息： image.png 当然也可以通过修改以下注册表选项来开启

1.7K1 0

windows权限维持(二)

技术篇对常见的权限维持的技术原理、实现方法、检测技巧进行总结、复现。...注册表类：普通注册表后门在一般用户权限下，通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run...而防御与检测策略也是比较好做的，在这些的注册表的位置查看是否有可疑程序即可。...Logon Scripts是优先于很多杀毒软件启动（部分杀毒是优先于他启动）的，所以可以通过这种方式将powershell命令写到bat脚本中，达到免杀隐藏启动的效果。...第二种方式就是使用wmi事件。

1.5K2 0

Windows主机入侵痕迹排查办法

此时可借助Process Explorer进一步观察powershell的运行参数。如下在Process Explorer中发现powershell执行了cobalt strike脚本的痕迹。 ?...2.1.5自启动项排查步骤：使用Autoruns工具查看自启动项查看组策略中的脚本查看注册表中的脚本、程序等查看各账号自启目录下的脚本、程序等查看Windows服务中的可执行文件路径分析方法...在得到客户授权，能够在可能失陷的主机上传排查工具时，可使用Autoruns工具进行详细的自启动项排查。排查中主要关注粉色条目，建议与客户运维人员一同查看，以及时排除业务所需的正常自启项。...打开gpedit.msc—计算机配置/用户配置—Windows设置—脚本，在此处可设置服务器启动/关机或者用户登录/注销时执行的脚本。下图1、2两处的脚本均需要查看是否添加有脚本。 ?...我这里没有脚本。 2.1.6日志工程师基本都会看日志，windows日志也就那些内容，比较简单，我就不细述，主要写一下几个比较重要的点，基本上就可以排查出是否有异常登录了。

3.4K2 0

利用Winrm.vbs绕过白名单限制执行任意代码

绕过方法描述 winrm.vbs（一个位于system32目录下的具有Windows签名的脚本文件）可以被用来调用用户定义的XSL文件，从而导致任意的、没有签名的代码执行。...在放置了恶意XSL文件后，以下的批处理文件可以被用来启动paylaod： mkdir %SystemDrive%\BypassDir copy %windir%\System32\cscript.exe...这将导致攻击者可以从一个被重命名过的cscript.exe启动winrm.vbs，甚至可以用其他的脚本解释器(例如wscript.exe)来启动winrm.vbs。...Get-WinEvent这一powershell命令就可以很好的解析ETL记录。我写了一个简单的脚本来解析ASMI事件。...需要注意的是，WSH无法提供'contentname'这一属性，导致我们不得不手动解析这一事件信息。这个脚本也会捕获到powershell的内容。

1.6K4 0

通过Windows事件日志介绍APT-Hunter

您可以将其用作过滤器把严重程度从百万个事件转换成数百个事件。 APT-Hunter如何工作？ APT-Hunter具有两个部分，它们可以一起工作以帮助用户快速获取所需的数据。...该工具将用于加快Windows日志分析的速度，但永远不会取代深度日志分析。收集日志：用户可以手动收集CSV和EVTX格式的日志，也可以使用本文后面讨论的powershell脚本自动提取所需的日志。...基于严重性对事件进行分类，使过滤变得容易，并专注于重要的事件。有一个日志收集自动化脚本来收集所有必需的日志，以节省导出重要日志所需的时间。...如何使用APT-Hunter 要做的第一件事是收集日志，使用powershell日志收集器可以轻松地自动收集所需的日志，而您只需以管理员身份运行powershell脚本即可。...远程处理中使用WinRM启动检测连接使用WinRM启动连接以对Powershell远程计算机进行检测使用安全日志使用Net命令检测用户创建使用安全日志检测在可疑位置运行的进程使用安全日志使用令牌提升检测特权提升

1.4K2 0

深入了解Windows PowerShell 自动化运维：基础知识、应用技巧和案例分享

介绍 Windows PowerShell 是一种用于自动化运维的强大工具，能够在Windows操作系统上执行各种管理任务。...第一部分：Windows PowerShell 的基础知识 Windows PowerShell 是一种基于命令行和脚本的自动化运维工具，能够在Windows操作系统上执行各种管理任务，包括系统管理、网络管理...Windows PowerShell 与传统的Windows命令行工具不同之处在于它提供了更加强大的命令和脚本编写能力，能够大幅提高运维效率和精度。...第三部分：Windows PowerShell 自动化运维实践 Windows PowerShell 的自动化运维实践可以包括以下几个方面：批量操作： Windows PowerShell 可以通过循环结构和条件语句实现批量操作...监控和报警： Windows PowerShell 可以通过“Event Viewer”事件查看器监控系统事件，例如磁盘空间不足、服务崩溃等，用户可以编写脚本实现对事件的监控和处理，例如发送邮件或短信进行报警

1.7K2 0

Windows 使用 Alias，高效办公指南！

之前两篇文章，我们聊到 Alias 的一些常用实例这几个常用 alias，带你高效做事这几个常用 alias，带你高效做事（下）类 Unix 系统中的 Alias，为一段功能命令设置一个别名，然后利用该别名去调用该功能...，以此来提升工作效率由于 Windows 系统的特殊性，在定义 Alias 方面与 Linux/Mac 不太一样下面讲讲 Windows 分别在 CMD、PowerShell 中实现 Alias 的具体步骤...1、CMD 具体步骤如下： 1-1 创建一个批处理文件 比如：在系统的用户目录创建一个批处理文件 alias.bat 1-2 在批处理文件中，定义别名使用关键字「 doskey 」定义别名，$*...alias.bat，然后重新启动 CMD 命令窗口即可以生效 2、PowerShell 通过测试，我们发现在 CMD 中定义的 Alias 并不能在 PowerShell 中使用所以我们需要针对 PowerShell...实战 | 如何用 Python 统计 Jira 数据并可视化实战 | 如何用 Python 自动化监控文件夹完成服务部署！

4.1K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云