开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何检测Windows启动事件是否运行了调用powershell脚本的批处理文件

要检测Windows启动事件是否运行了调用PowerShell脚本的批处理文件，可以通过以下步骤进行：

创建一个批处理文件（例如：check_startup.bat），用于检测Windows启动事件。
在批处理文件中，使用Windows事件查看器（Event Viewer）命令行工具（wevtutil.exe）来查询系统事件日志，以检测启动事件是否发生。
在批处理文件中，使用Windows事件查看器（Event Viewer）命令行工具（wevtutil.exe）来查询系统事件日志，以检测启动事件是否发生。
该命令会查询系统事件日志中由Microsoft-Windows-Winlogon提供程序生成的EventID为12的事件，这是Windows启动事件的ID。
将查询结果输出到一个文本文件中，以便后续处理。
将查询结果输出到一个文本文件中，以便后续处理。
使用PowerShell脚本来解析文本文件，判断启动事件是否发生了调用PowerShell脚本的批处理文件。
使用PowerShell脚本来解析文本文件，判断启动事件是否发生了调用PowerShell脚本的批处理文件。
将上述PowerShell脚本保存为check_startup.ps1文件。
在批处理文件中调用PowerShell脚本来检测启动事件。
在批处理文件中调用PowerShell脚本来检测启动事件。

这样，当Windows启动事件发生时，批处理文件会调用PowerShell脚本来检测启动事件是否运行了调用PowerShell脚本的批处理文件。根据检测结果，可以进行相应的处理或记录日志。

请注意，以上答案中没有提及具体的腾讯云产品和产品介绍链接地址，因为该问题与云计算品牌商无关。如需了解腾讯云相关产品和服务，请参考腾讯云官方文档或咨询腾讯云官方支持。

相关搜索:如何使用PHP将已有的值对推送到Array？laravel 5.6批量插入json数据为什么我的if语句不能工作，即使我填写的提示()是正确的如何在mapView - here maps ios sdk/swift 3上禁用手势(锁定-不移动/平移/缩放)？如何在python中将指数值转换为字符串格式？如何执行js函数onload？如何通过单击DataTable同一行上的编辑按钮来获取ID值更改url或加载url时的Jquery问题 Bootstrap折叠活动如何在CMD/Batch中将数字拆分成单个数字

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

挖矿恶意程序纪实分析之 Windows 篇

近期接到客户反馈，其网络中有部分 Windows 系统终端机器异常，安全团队经过分析，发现其仍旧是一起网络挖矿事件。

03

粘滞键项权限维持

在window Vista以上的操作系统中，修改sethc会提示需要trustedinstaller权限，trustedinstaller是一个安全机制，即系统的最高权限，权限比administrator管理员高，windows权限分为三种从低到高依次是user，administrator，system，而trustedinstaller比 administrator高但没有system高，这么做的好处是避免了一些恶意软件修改系统文件的可能，坏处就是自己不能直接操作了：

02

渗透测试与开发技巧

https://github.com/3gstudent/Pentest-and-Development-Tips

02

Windows 系统信息收集姿势

很多新入门的同学在在拿下一台服务器权限后经常会出现不知道做什么的问题，往往就会不管三七二十一提权 exp 一顿砸，在宕机的边缘疯狂试探。

02

利用Winrm.vbs绕过白名单限制执行任意代码

winrm.vbs（一个位于system32目录下的具有Windows签名的脚本文件）可以被用来调用用户定义的XSL文件，从而导致任意的、没有签名的代码执行。当用户向winrm.vbs提供'-format:pretty'或者'-format:text'参数时，winrm.vbs将从cscript.exe所在目录读取WsmPty.xsl或Wsmtxt.xsl文件。这意味着若将cscript.exe拷贝到攻击者可以控制的目录下，并将恶意的XSL文件也置于相同路径中，攻击者将可以绕过签名保护而执行任意代码。这个攻击手段和Casey Smith的wmic.exe技术很相像。

04

内网渗透基石篇—信息收集（下）

目标资产信息搜集的程度，决定渗透过程的复杂程度。目标主机信息搜集的深度，决定后渗透权限持续把控。渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。

02

Powershell与威胁狩猎

PowerShell是一种功能强大的脚本语言和shell程序框架，主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作，然而，这些特性被攻击者理解并转化为攻击特性，也就成为了攻击者手中的攻城利器，给企业网络造成威胁。

02

红队战术-躲避日志检查

windows事件日志简介：Windows 系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

02

利用计划任务进行权限维持的几种姿势

计划任务的持久化技术可以手动实现，也可以自动实现。有效负载可以从磁盘或远程位置执行，它们可以是可执行文件、powershell脚本或scriptlet的形式。这被认为是一种旧的持久性技术，但是它仍然可以在red team场景中使用，并且由各种开源工具支持。Metasploit 的web_delivery模块可用于托管和生成各种格式的有效载荷。

02

利用计划任务维持系统权限

在 Windows 系统上，可以使用计划任务来定时执行某些操作，方便用户对系统的使用和管理，红队成员也可以利用这个特性来对系统进行持久化的控制。

03

你所不知道的Webshell--进阶篇

上期文章介绍了Webshell的基础知识和防护技巧，有兴趣的同学可以前往你所不知道的Webshell--基础篇观看。

04

Terminal Escape Injection

作为程序猿与网络攻城狮,我们几乎每天都要处理各种脚本,PoC代码,漏洞利用EXP等,但是你们可知里面代码的详细。再没有认真审核代码的情况下去执行的话,有可能一不小心就成了别人的肉鸡.

03

windows权限维持(二)

在一般用户权限下，通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run，键名任意。普通权限即可运行

02

PS编程基础入门1

[TOC] 0x00 PS 编程基础脚本注释在PS中采用 #字符进行注释调用优先级 Powershell调用入口的优先级: 别名：控制台首先会寻找输入是否为一个别名，如果是执行别名所指的命令。因此我们可以通过别名覆盖任意powershell命令，因为别名的优先级最高。函数：如果没有找到别名会继续寻找函数，函数类似别名，只不过它包含了更多的powershell命令。因此可以自定义函数扩充cmdlet 把常用的参数给固化进去。命令：如果没有找到函数，控制台会继续寻找命令，即cmdlet，powersh

04

围绕PowerShell事件日志记录的攻防博弈战

PowerShell一直是网络攻防对抗中关注的热点技术，其具备的无文件特性、LotL特性以及良好的易用性使其广泛使用于各类攻击场景。为了捕获利用PowerShell的攻击行为，越来越多的安全从业人员使用PowerShell事件日志进行日志分析，提取Post-Exploitation等攻击记录，进行企业安全的监测预警、分析溯源及取证工作。随之而来，如何躲避事件日志记录成为攻防博弈的重要一环，围绕PowerShell事件查看器不断改善的安全特性，攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据，以及事件记录的完整性。今年10月份微软发布补丁的CVE-2018-8415正是再次突破PowerShell事件查看器记录的又一方法，本文将细数PowerShell各大版本的日志功能安全特性，及针对其版本的攻击手段，品析攻防博弈中的攻击思路与技巧。

01

围绕PowerShell事件日志记录的攻防博弈

【*绿盟科技M01N Team研究岗长期招聘CTF、Pentest、RE、PWN、WEB，请在文末进行了解！】

03

Windows中常见后门持久化方法总结

当我们通过各种方法拿到一个服务器的权限的时候，我们下一步要做的就是后渗透了，而后门持久化也是我们后渗透很重要的一部分，下面我来总结一下windows下常见的后门持久化的方法

02

后渗透工具Koadic实战

渗透测试大致可以分为以下五个阶段：侦察、扫描、获得访问权限、维护访问/持久性、数据渗漏。Koadic是发布于DEFCON上的一个后渗透工具，它可用于以上列举的最后两个阶段，即权限维持和数据渗漏。

02

powershell学习备忘

背景早就听说微软的powershell非常强大，凭借它可以全命令行操控windows服务器了。最近终于要在工作中用到它了，于是花了几个小时将powershell的基础教程看了下，这里将学习过程中的一些要点记录一下。环境准备欲善其事，先利其器，先准备一个开发环境。个人的开发电脑是macOS 11.13.3，为了开发powershell脚本，在本机安装了一个windows 7 sp1的虚拟机。升级powershell版本 win7自带的powershell版本较低，这里将windows 7 sp1里自

06

【玩转腾讯云】Windows云服务器排障思路

Windows排障对我来说很简单，毕竟是鼠标操作，而且有那么多小工具辅助排障，非常轻松。本文更偏重通用能力，不仅适用腾讯云，其他云也适用。专对腾讯云的话，推荐我写的一篇腾讯云SDK踩坑、填坑的文档，那个花了我上百个小时，是我10篇云+社区文档的集锦，腾讯云API Explorer工具的基本用法，让你熟练掌握6种SDK的使用。

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭