Aufgaben im Windows Taskplaner nach Aktion filtern

tag-icon tag-icon windows scheduled-tasks windows-task-scheduler task-scheduler
Aufgaben im Windows Taskplaner nach Aktion filtern

Ich versuche, im Windows-Taskplaner eine Aufgabe auf einem Image eines Windows 10 x64 zu finden.

Alles, was ich über diesen Task weiß, ist, dass er, wenn er ausgelöst wird, einen Dienst deaktiviert, über den ich auch nichts weiß.

Ich habe den Taskplaner einige Male manuell durchsucht, konnte ihn jedoch nicht finden.

Die Ereignisanzeige und die Überwachung wurden deaktiviert, bevor ich mit der Suche nach der Aufgabe begann. Selbst wenn diese also schon einmal ausgeführt wurde, ist sie wahrscheinlich nicht protokolliert.

Obwohl ich in der Ereignisanzeige eine Option zum Filtern von Audits gefunden habe, ist mir im Taskplaner nichts Vergleichbares bekannt.

Ich bin relativ neu in der Cybersicherheit, daher entschuldige ich mich, wenn dies eine offensichtliche Frage ist.

Ist es möglich, Aufgaben im Taskplaner nach Aktion zu filtern?

Wenn nicht, warum ist dies nicht möglich und gibt es einen externen Code oder ein Programm, mit dem ich meine Suche eingrenzen könnte?

Antwort1

Wenn Sie nach einer Möglichkeit suchen, geplante Aufgaben aufzulisten, hilft Ihnen die folgende PowerShell-Datei:

Get-ScheduledTask | ForEach-Object {[pscustomobject]@{
  Name = $_.TaskName;
  Path = $_.TaskPath;
  LastResult = $(($_ | Get-ScheduledTaskInfo).LastTaskResult);
  NextRun = $(($_ | Get-ScheduledTaskInfo).NextRunTime);
  Status = $_.State;
  Command = $_.Actions.execute;
  Arguments = $_.Actions.Arguments }
} | Out-GridView

Sie sollten in der Lage sein, dies entweder in ein als Administrator ausgeführtes PowerShell- oder PowerShell ISE-Fenster einzufügen. Dort wird eine GridView der Daten bereitgestellt, die mit dem GridView-Steuerelement gefiltert werden können.

Antwort2

Sind Sie sicher, dass dies eine geplante Aufgabe ist? Ihre Erwähnung der Cybersicherheit in diesem Zusammenhang lässt mich glauben, dass der Dienst böswillig deaktiviert wird.

Autorunsist ein sehr nützliches Dienstprogramm, das viele Ladepunkte in Windows anzeigt, einschließlich geplanter Aufgaben.

  • Verwenden Sie das Filterfeld, um Ihre Suche einzugrenzen.
  • VerwendenOptionen>Scan Optionenund prüfeÜberprüfen Sie VirusTotal.comum Einträge mit VirusTotal zu vergleichen (ein einfaches Skript/eine einfache ausführbare Datei, die einen Dienst deaktiviert, wird jedoch möglicherweise nicht angezeigt).
  • Entfernen Sie die Festplatte und schließen Sie sie an einen anderen Computer an (oder starten Sie ein anderes Windows-Betriebssystem auf demselben Computer) und wählen SieDatei>Offline-System analysieren. Dadurch können Elemente aufgedeckt werden, deren Vorhandensein möglicherweise verborgen bleibt, wenn ein Rootkit vorhanden ist.

verwandte Informationen