Фильтрация задач в планировщике задач Windows по действию

tag-icon tag-icon windows scheduled-tasks windows-task-scheduler task-scheduler
Фильтрация задач в планировщике задач Windows по действию

Я пытаюсь найти задачу в планировщике задач Windows на образе Windows 10 x64.

Все, что я знаю об этой задаче, это то, что при ее запуске отключается служба, о которой я также ничего не знаю.

Я несколько раз вручную запускал Планировщик заданий, но так и не смог его найти.

Просмотр событий и аудит были отключены до того, как я начал искать задачу, поэтому даже если она была запущена ранее, она, скорее всего, не была зарегистрирована.

Хотя я нашел возможность фильтровать аудиты в средстве просмотра событий, я не знаю ничего подобного в планировщике задач.

Я относительно новичок в кибербезопасности, поэтому прошу прощения, если вопрос покажется очевидным.

Можно ли фильтровать задачи по действию в Планировщике задач?

Если нет, то почему это невозможно и есть ли какой-либо внешний код или программа, которые я мог бы использовать, чтобы сузить круг поиска?

решение1

Если вы ищете способ составить список запланированных задач, поможет ли вам следующий PowerShell:

Get-ScheduledTask | ForEach-Object {[pscustomobject]@{
  Name = $_.TaskName;
  Path = $_.TaskPath;
  LastResult = $(($_ | Get-ScheduledTaskInfo).LastTaskResult);
  NextRun = $(($_ | Get-ScheduledTaskInfo).NextRunTime);
  Status = $_.State;
  Command = $_.Actions.execute;
  Arguments = $_.Actions.Arguments }
} | Out-GridView

Вы сможете вставить это в окно PowerShell или PowerShell ISE, запущенное от имени администратора, и оно предоставит GridView с данными, которые можно отфильтровать с помощью элемента управления GridView.

решение2

Вы уверены, что это запланированная задача? Ваше упоминание кибербезопасности в этом контексте заставляет меня думать, что служба отключается злонамеренно.

Автозапускиочень полезная утилита, которая отображает множество точек загрузки в Windows, включая запланированные задачи.

  • Используйте поле фильтра, чтобы сузить область поиска.
  • ИспользоватьПараметры>Параметры сканированияи проверьтеПроверьте VirusTotal.comдля проверки записей на VirusTotal (хотя простой скрипт/исполняемый файл, который отключает службу, может не отображаться).
  • Извлеките диск и подключите его к другому компьютеру (или загрузите другую ОС Windows на том же компьютере) и выберитеФайл>Анализ автономной системы. Это может выявить элементы, присутствие которых может быть скрыто при наличии руткита.

Связанный контент