Détection

  • Inspection manuelle (interface graphique du planificateur de tâches) : Ouvrez le planificateur des tâches () et examinez attentivement les tâches listées dans la bibliothèque principale et sous . Recherchez des tâches récemment créées ou modifiées, des tâches avec des noms ou descriptions suspects, des tâches déclenchées lors de la connexion/démarrage, et des tâches exécutant des programmes ou scripts inhabituels (notamment depuis des annuaires utilisateurs comme Temporaire ou Téléchargements). Vérifiez les onglets « Actions » et « Déclencheurs » pour plus de détails.taskschd.msc Microsoft\Windows

  • Requête en ligne de commande () : fournit une liste détaillée de toutes les tâches dans l’invite de commande.schtasks.exeschtasks /query /fo LIST /v

  • Fichiers de tâches () : Les tâches planifiées sont stockées sous forme de fichiers XML dans ce répertoire (et ses sous-répertoires). Analysez les horodatages « Date de modification » de ces fichiers dans Search Everything. Examinez directement le contenu XML (à l’aide de bloc-notes ou de visualiseurs spécialisés) pour voir les commandes, arguments, déclencheurs et contexte utilisateur. Cherchez les fichiers XML récemment modifiés.C:\Windows\System32\Tasks

  • Scripts PowerShell : Utilisez des scripts PowerShell spécialisés (comme ceux de N0LW ou Rio mentionnés précédemment) conçus pour analyser les fichiers XML des tâches, extraire des commandes/arguments, et signaler des entrées potentiellement suspectes en fonction de mots-clés (, , , etc.).cmd powershell rundll32

  • Journaux d’événements : Le journal opérationnel du planificateur de tâches () enregistre la création de tâches (ID d’événement 106), la suppression (ID 141), l’exécution (ID 200/201) et les événements d’achèvement. Associez les horodatages aux tâches suspectes trouvées ailleurs.Applications and Services Logs > Microsoft > Windows > TaskScheduler > Operational

  • Explorateur de registre : Peut être utilisé pour examiner les clés de cache des tâches ( et ) pour les métadonnées de tâches, y compris les informations ou tâches potentiellement supprimées utilisant des noms Unicode.HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks Tree

  • System Informer : Videz la mémoire du service Scheduler ( ou ) et recherchez des balises or, ou des chemins/scripts spécifiques trouvés via d’autres méthodes.svchost.exe taskeng.exe <Command> <Arguments>

PrécédentMécanisme d’évasionSuivantLangages de script pour l’évasion

Mis à jour