[Forensics] Widows - 자동시작 프로그램 포렌식 (startup process forensics)
wmic startup list full
wmic startup list briefcmd 에서 위 두 명령어를 사용하면 자동시작 프로그램이 어떤게 등록되어 있는지 확인할 수 있다.
wmic startup list full
필자의 경우 여러개의 자동시작 프로그램이 등록되어 있습니다.
wmic startup list brief
wmic startup list brief 명령어를 사용하면 어떤 커맨드를 사용해서 프로그램이 작동하는지 파악이 가능합니다.
또한 어떤 사용자가 사용하는지를 확인할 수 있습니다.
추가적인 문의나 오탈자는 pental@kakao.com 을 통해서 메일로 보내주시면 감사하겠습니다.
'Forensics > Digital Forensics Information' 카테고리의 다른 글
| [Forensics] Windows - 작업스케쥴 / job 정보 (Scheduled task/job information) (0) | 2020.03.31 |
|---|---|
| [Forensics] Windows - Pagefile Information (0) | 2020.03.27 |
| [Forensics] Windows - 방화벽 정보 (0) | 2020.03.27 |
| [Forensics] Windows - 유저와 관리자 정보 가져오기 (0) | 2020.03.26 |
| [Forensics] Windows - 시스템 정보 가져오기 (0) | 2020.03.26 |