Windows 10 x64 のイメージ上の Windows タスク スケジューラでタスクを見つけようとしています。
このタスクについて私が知っていることは、それがトリガーされると、私もまったく知らないサービスが無効になるということだけです。
タスク スケジューラを手動で数回確認しましたが、見つけることができませんでした。
タスクの検索を開始する前にイベント ビューアーと監査が無効になっていたため、タスクが以前に実行されていたとしても、ログに記録されていない可能性があります。
イベント ビューアーで監査をフィルターするオプションを見つけましたが、タスク スケジューラで同様のものについては知りません。
私はサイバーセキュリティに関しては比較的初心者なので、これが明らかな質問であればお詫び申し上げます。
タスク スケジューラでアクション別にタスクをフィルターすることは可能ですか?
そうでない場合、なぜそれが不可能なのでしょうか。また、検索を絞り込むために使用できる外部コードやプログラムはありますか?
答え1
スケジュールされたタスクを一覧表示するものを探している場合、次の PowerShell が役立ちます。
Get-ScheduledTask | ForEach-Object {[pscustomobject]@{
Name = $_.TaskName;
Path = $_.TaskPath;
LastResult = $(($_ | Get-ScheduledTaskInfo).LastTaskResult);
NextRun = $(($_ | Get-ScheduledTaskInfo).NextRunTime);
Status = $_.State;
Command = $_.Actions.execute;
Arguments = $_.Actions.Arguments }
} | Out-GridView
これを管理者として実行されている PowerShell または PowerShell ISE ウィンドウに貼り付けると、GridView コントロールを使用してフィルター処理できるデータの GridView が提供されます。
答え2
これを実行しているのはスケジュールされたタスクですか? この文脈でサイバーセキュリティについて言及されていることから、サービスが悪意を持って無効化されていると考えられます。
自動実行スケジュールされたタスクを含む、Windows の多くの負荷ポイントを表示する非常に便利なユーティリティです。
- フィルター フィールドを使用して、検索を絞り込みます。
- 使用オプション>スキャンオプションチェックVirusTotal.com をチェックVirusTotal に対してエントリをチェックします (ただし、サービスを無効にする単純なスクリプト/実行ファイルは表示されない場合があります)。
- ディスクを取り外して別のマシンに接続し(または同じマシンで別のWindows OSを起動し)、ファイル>オフラインシステムの分析これにより、ルートキットが存在する場合に存在が隠されている可能性のある項目が明らかになることがあります。