文章总结： 本文模拟了木马运行后通过计划任务持久化并隐藏文件的场景，详细演示了使用Autoruns工具发现异常计划任务，并通过修改文件夹选项或命令行揪出隐藏恶意文件的过程，最后介绍了彻底删除木马的方法，建议运维人员掌握Autoruns排查持久化后门。 综合评分： 76 文章分类： 应急响应,安全工具,恶意软件,实战经验

实战拆解：Autoruns揪出隐藏的计划任务木马

原创

weiqin weiqin

大仙安全说

2026年3月10日 21:04 北京

点击蓝字，关注我们

关

注

免责声明

大仙安全说的技术文章仅供参考，此文所提供的信息只为网络安全人员进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他! ! !

在日常的网络安全运维工作中，我们经常会遇到各种恶意软件的潜伏与伪装。从执行木马开始，到利用Autoruns发现异常计划任务，再到识破文件的隐藏手段，最后成功删除木马并总结防范经验。

01

打开Autoruns

为了模拟真实攻击场景，我在虚拟机中双击运行了一个事先准备好的“shell.exe”程序（实际是一个会创建计划任务的后门程序）。

02

发现计划任务

在Autoruns界面中，切换到计划任务选项，仔细查看与第一张图做对比，发现与之前相比新建了一个计划任务。

路径为：

C:\ProgramData\WindowsTask\service.exe

03

目标文件夹为空

根据计划任务中指向的路径，打开相应的文件夹并未发现该程序。

04

使用了隐藏手段

Windows系统中有多种隐藏文件的方法，最常见的是设置文件属性为“隐藏”或“系统文件”。

方法一：

要查看这类文件，需要在文件夹选项中取消勾选“隐藏受保护的操作系统文件”

点击选项->隐藏受保护的操作系统文件

确定后，查看文件下有了service.exe程序

方法二：

使用cmd命令行，切换到WindowsTask目录，使用attrib -s -h service.exe

或者dir /a命令显示所有文件（包括隐藏和系统文件）也可显示隐藏文件。

05

彻底删除木马

删除木马后返回Autoruns，将木马的计划任务条目右键删除。为了保险起见，我也在任务计划程序库中确认该任务已被移除。重启计算机后，再次运行Autoruns检查，计划任务没有再生，木马被彻底清除。

可以看到一个典型的木马持久化过程：执行后创建计划任务，并将自身文件隐藏起来，企图躲避常规检测。Autoruns是排查持久化后门的利器，无论是计划任务、服务还是启动项，它都能一览无余。建议安全运维人员常备此工具。

感谢关注大仙安全说

添加好友注明来意

公众号丨大仙安全说

VX丨weiqin_6666

长按关注

《往期阅读》

零基础也能分析病毒！Noriben新手入门指南

使用 Sysmon 如何精准捕获“银狐”域名

使用 DNSQuerySniffer 揪出隐蔽钓鱼请求

整个网安圈子，谁还没用过TCPView

整个网安圈子，谁还没用过Procmon

整个网安圈子，谁还没用过PCHunter

整个网安圈子，谁还没用过Autoruns

相关话题：

网络安全#大仙安全说#网安圈子#应急响应#应急工具#Autoruns#attrib

点击

阅读原文

跳转Autoruns工具篇

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大仙安全说 weiqin weiqin《实战拆解：Autoruns揪出隐藏的计划任务木马》