如何使用cmd將Desktops.exe設定為自動運行程序

Question 1

第一：你正在倒退。
首要任務是清潔機器。
唯一確定的方法是從救援介質啟動並從那裡掃描/清理機器。

但有時你別無選擇。範例：當您的電腦使用某種形式的磁碟加密時，您在從其他媒體啟動時將無法存取硬碟。

在這種情況下，以「帶有命令提示字元的安全模式」啟動它。
然後執行regedit（有一個GUI，只是當時沒有執行Explorer shell）。
在 regedit 中，前往 HKLM\Software\Microsoft\Windows\CurrentVersion\Run。將您的自動運行程序新增為該鍵中的額外條目。
或者，您可以使用 REG.EXE 命令從命令列執行相同的操作。

（最好在運行時刪除運行鍵中的所有其他條目。其中一個可能是惡意軟體的一部分。您可以使用 Regedit 的匯出功能將它們暫時保存在文件中。）

另一種方法是將登入 shell 從 explorer.exe 變更為檔案管理器（如 TotalCommander 或 DirOpus）。
有時新增自動運行條目不起作用，但使用替代 shell 可以。
它位於登錄項目 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon 中。您必須為此變更“Shell”條目的值（您可以使用執行檔的完整路徑）。

請注意添加一個額外的程序，在惡意軟體處於活動狀態時依賴鍵盤輸入，可能不起作用。該惡意軟體可以輕鬆劫持任何鍵盤輸入，從而阻止您的程式啟動。

Answer

第一：你正在倒退。
首要任務是清潔機器。
唯一確定的方法是從救援介質啟動並從那裡掃描/清理機器。

但有時你別無選擇。範例：當您的電腦使用某種形式的磁碟加密時，您在從其他媒體啟動時將無法存取硬碟。

在這種情況下，以「帶有命令提示字元的安全模式」啟動它。
然後執行regedit（有一個GUI，只是當時沒有執行Explorer shell）。
在 regedit 中，前往 HKLM\Software\Microsoft\Windows\CurrentVersion\Run。將您的自動運行程序新增為該鍵中的額外條目。
或者，您可以使用 REG.EXE 命令從命令列執行相同的操作。

（最好在運行時刪除運行鍵中的所有其他條目。其中一個可能是惡意軟體的一部分。您可以使用 Regedit 的匯出功能將它們暫時保存在文件中。）

另一種方法是將登入 shell 從 explorer.exe 變更為檔案管理器（如 TotalCommander 或 DirOpus）。
有時新增自動運行條目不起作用，但使用替代 shell 可以。
它位於登錄項目 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon 中。您必須為此變更“Shell”條目的值（您可以使用執行檔的完整路徑）。

請注意添加一個額外的程序，在惡意軟體處於活動狀態時依賴鍵盤輸入，可能不起作用。該惡意軟體可以輕鬆劫持任何鍵盤輸入，從而阻止您的程式啟動。

Question 2

開啟文件：

openfiles /Query /FO:csv | more

查看NetBIOS網路開啟檔：

net files

處理命令列、標題、Pid：

Wmic process get CommandLine, name, ProcessId | more

進程路徑、標題、Pid：

Wmic process get ExecutablePath, name, ProcessId | more

網路活躍過程：

netstat -aon | findstr [1-9]\. | more

網路活動進程名稱：

netstat -baon | more

職位清單：

wmic job list STATUS

自動運行清單：

wmic startup list full | more

查看導入dll模組（Embarcadero或Borland版本）：

tdump -w hal*.dll | find "Imports from "

刪除所有權限並允許使用者停用所有：

cacls <filename> /T /C /P %username%:N

終止指定的進程及其啟動的任何子進程：

taskkill /PID <pid1> /PID  <pid2>  /PID  <pid3>  /T

Answer