gp HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - pokaż co jest uruchamiane po zalogowaniu

więcej informacji poniżej

Dodatkowe informacje

gp to alias na Get-ItemProperty. Wykorzystując ten cmdlet wraz z providerem Registry umożliwiającym dostęp do rejestru poprzez HKLM: (HKEY_LOCAL_MACHINE) i HKCU: (HKEY_CURRENT_USER) możemy szybko wyświetlić zawartość posczególnych elementów w kluczach rejestru.

W HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run zawarte są programy, które zostaną uruchomione po zalogowaniu dowolnego użytkownika w systemie (stąd tylko Administrator może gałąź HKLM modyfikować), natomiast w HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run są wpisy danego użytkownika.

To oczywiście nie jedyne miejsca, w których złośliwe oprogramowanie może się schować, natomiast warto od czasu do czasu te klucze przeglądać. Dodatkowo, dla programów 32-bitowych uruchamianych na systemach 64-bitowych istnieje specjalna gałąź: HKLM:\SOFTWARE\WOW6432Node, o której również nie należy zapominać. Szybkie trzy linijki, które pokażą typowe miejsca autostartujących aplikacji, to:

        gp HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        gp HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        gp HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

Jednak to oczywiście tylko wierzchołek góry lodowej, warto uruchomić od czasu autoruns z pakietu Sysinternals od Microsoftu, by zobaczyć więcej, głębiej.

Przydatne linki

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns - Autoruns.exe od Microsoftu

Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.