首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

如何使用Powershell查找用于启动进程的快捷方式文件

基础概念

PowerShell 是一种跨平台的任务自动化和配置管理框架,由微软开发。它包括命令行 shell 和脚本语言。PowerShell 可以用来自动化和远程管理 Windows 系统,执行系统管理任务,如文件操作、注册表访问、进程管理等。

相关优势

  • 自动化:PowerShell 脚本可以自动执行重复性任务,提高效率。
  • 远程管理:支持远程执行命令,便于管理多台机器。
  • 扩展性:可以通过安装模块来扩展功能。
  • 兼容性:支持 Windows、Linux 和 macOS。

类型

  • 命令:单个 PowerShell 命令。
  • 脚本:包含多个命令的文本文件,扩展名为 .ps1
  • 模块:包含一组相关的 cmdlet 和函数,可以扩展 PowerShell 的功能。

应用场景

  • 系统管理:如配置服务器、管理用户账户、监控系统状态等。
  • 自动化任务:如备份文件、部署应用程序、更新系统等。
  • 安全审计:如检查系统日志、监控进程活动等。

如何使用 PowerShell 查找用于启动进程的快捷方式文件

假设我们要查找所有指向特定程序(例如 notepad.exe)的快捷方式文件,可以使用以下 PowerShell 命令:

代码语言:txt
复制
Get-ChildItem -Path "C:\Path\To\Search" -Recurse -Include *.lnk | ForEach-Object {
    $shell = New-Object -ComObject WScript.Shell
    $shortcut = $shell.CreateShortcut($_.FullName)
    if ($shortcut.TargetPath -eq "C:\Windows\System32\notepad.exe") {
        Write-Output $_.FullName
    }
}

解释

  1. Get-ChildItem:递归地获取指定路径下的所有文件和子目录。
  2. -Recurse:递归搜索子目录。
  3. *-Include .lnk:只包含 .lnk 文件。
  4. ForEach-Object:对每个找到的快捷方式文件执行操作。
  5. New-Object -ComObject WScript.Shell:创建一个 WScript.Shell 对象,用于处理快捷方式文件。
  6. CreateShortcut:创建一个快捷方式对象。
  7. $shortcut.TargetPath:获取快捷方式的目标路径。
  8. Write-Output:输出符合条件的快捷方式文件路径。

参考链接

通过上述方法,你可以有效地使用 PowerShell 查找用于启动特定进程的快捷方式文件。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

  • 如何在Linux下快速找到Java进程启动JAR文件

    如何在Linux下快速找到Java进程启动JAR文件在线上环境中,当CPU占用率异常高时,经常需要定位到是哪个Java进程导致,并进一步找到该进程启动JAR文件。...你可以使用ls -l /proc/[PID]/cwd来查看该目录内容,并手动查找JAR文件。...使用jps -l命令可以列出带有JAR文件或类名Java进程。方法三:使用pgrep命令pgrep命令用于查找与给定模式匹配进程,并打印出它们PID。...这通常包括启动Java进程完整命令,包括JAR文件路径。总结/proc文件系统提供了关于进程详细信息,但可能需要手动查找JAR文件。...在实际使用中,你可以根据具体情况选择最适合你方法。如果只需要快速查看正在运行Java进程及其启动JAR文件,jps命令通常是最简单直接选择。

    97010

    红队技巧-持久性技巧

    \SafeDogSiteApache\SafeDogSiteApache.exe" //启动正常程序 然后快捷方式链接换成这个bat文件链接,这样将会即执行了反弹shell,又会执行正常程序,能有效降低管理员怀疑...Powershell配置文件PowerShell配置文件是一个PowerShell脚本,您可以对其进行自定义,并将其特定于会话元素添加到您启动每个PowerShell会话中。...它是一个在PowerShell启动时运行脚本,你可以使用配置文件作为登录脚本来自定义环境,你可以添加命令,功能,别名,模块等。..." -Append 与启动进程类似,“ Invoke-Item ” cmdlet可用于执行项目的默认操作,即运行文件,打开应用程序等。...执行过程不会像上面的示例那样在系统上创建新进程,而是使用现有的PowerShell进程,更为隐蔽。

    1.2K30

    分别查找主机占用CPU和占用内存最大进程,要求能查出进程PID,启动目录,启动命令,占用文件描述符数量,占用端口

    文件或子文件夹 /proc/buddyinfo 每个内存区中每个order有多少块可用,和内存碎片问题有关 /proc/cmdline 启动时传递给kernel参数信息 /proc/cmdline...启动时传递给kernel参数信息 /proc/crypto 内核使用所有已安装加密密码及细节 /proc/devices 已经加载设备并分类 /proc/dma 已注册使用ISA DMA频道列表...目录中进程N信息 /proc/N pid为N进程信息 /proc/N/cmdline 进程启动命令 /proc/N/cwd 链接到进程当前工作目录 /proc/N/environ 进程环境变量列表.../proc/N/root 链接到进程根目录 /proc/N/stat 进程状态 /proc/N/statm 进程使用内存状态 /proc/N/status 进程状态信息,比stat/statm...更具可读性 /proc/self 链接到当前正在运行进程 实例 分别查找当前主机占用CPU和占用内存最大进程,要求能查出进程PID,启动目录,启动命令,占用文件描述符数量,占用端口等。

    1.4K40

    Window权限维持(四):快捷方式

    查看快捷方式属性将显示目标字段已成功修改以执行PowerShell有效负载。 ? 由于快捷方式存在于启动文件夹中,因此暂存器将在下一次Windows登录中执行,并且将与命令和控制服务器建立连接。...默认情况下,此模块将使用写字板图标伪装成可信任应用程序。 ? 快捷方式目标字段将使用执行Base64有效负载PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。...将这些快捷方式放置在启动文件夹中以保持持久性将是一个微不足道过程,因为假定已经存在与命令和控制服务器通信。 lnk2pwn是用Java编写工具,可用于制作恶意快捷方式。...Empire-写字板快捷方式快捷方式目标字段将使用执行Base64有效负载PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。...将这些快捷方式放置在启动文件夹中以保持持久性将是一个微不足道过程,因为假定已经存在与命令和控制服务器通信。lnk2pwn是用Java编写工具,可用于制作恶意快捷方式

    1.3K30

    如何查找在线js文件(前提是有网情况下),变成自己本地文件。(适用于前端所有框架)

    1、在有网络前提下,可以通过百度www.baidu.com来进行搜索文件。首先进行介绍一下什么是cdn,百度百科介绍如下: 2、使用js文件有几种方式。...首先到对应官网上找到对应文件,然后下载下来,接着把它导入编译器器中,建立一个第三方文件夹,把它引入进来即可使用文件。有第三方网址,也有官方网址。...(使用第三方插件) (1)点进相关网址之后是这样。 (2)使用在线链接在网址输入栏中粘贴上去,回车,就可以看到相关全部内容。...接着在编译器中要使用该js文件,直接新建一个js文件,然后粘贴上去就可以使用。 3、使用第三方库官方网址,可以下载对应插件,离线安装使用,之前上面的介绍是在线使用使用哪一种方式都可以。...适合自己就是最好

    1.5K40

    如何使用 Go 语言来查找文本文件重复行?

    在编程和数据处理过程中,我们经常需要查找文件中是否存在重复行。Go 语言提供了简单而高效方法来实现这一任务。...在本篇文章中,我们将学习如何使用 Go 语言来查找文本文件重复行,并介绍一些优化技巧以提高查找速度。...countMap,用于存储每个行文本及其出现次数。...优化技巧如果你需要处理非常大文件,可以考虑使用以下优化技巧来提高性能:使用 bufio.Scanner ScanBytes 方法替代 Scan 方法,以避免字符串拷贝。...使用布隆过滤器(Bloom Filter)等数据结构,以减少内存占用和提高查找速度。总结本文介绍了如何使用 Go 语言来查找文本文件重复行。我们学习了如何读取文件内容、查找重复行并输出结果。

    19720

    渗透测试信息收集技巧(10)——Office钓鱼和钓鱼攻击

    将下列代码复制到index.html文件启动EasyCHM软件,点击工具栏新建按钮,弹出对话框中点击浏览按钮,选择创建根目录,文件类型保持一致,点击确定,最后点击工具栏编译按钮,弹出对话框中点击生成...双击运行CHM文件,主机立刻上线,运行执行带有powershel命令CHM文件,屏幕出现闪现一个黑框。 LNK钓鱼 Ink文件用于指向其他文件一种文件。...这些文件通常称为快捷方式文件通常它以快捷方式放在硬盘上,以方便使用者快速调用。Ink钓鱼主要将图标伪装成正常图标,但是目标会执行she命令。...双击运行hta文件,Cobalt Strike收到主机上线。 本文档所提供信息仅用于教育目的及在获得明确授权情况下进行渗透测试。...任何未经授权使用本文档中技术信息行为都是严格禁止,并可能违反《中华人民共和国网络安全法》及相关法律法规。使用者应当合法合规地运用所学知识,不得用于非法入侵、破坏信息系统等恶意活动。

    11010

    使用 PowerToys Keyboard Manager 重新定义 Windows 1011 键盘上

    重新映射启动应用快捷方式 Keyboard Manager 使你可以通过激活任何快捷方式启动应用程序。 为“至:”列中,为此操作选择启动应用。 使用这种类型快捷方式时,有几个选项需要配置。...展开表 选项 含义 应用 这是可执行文件路径。 环境变量将展开。 参数 将发送到应用参数。 开始于 应用要在其中启动工作目录。 Elevation 指定要启动应用提升级别。...可以在命令行上发布几乎所有内容都应该有效。 有关更多示例,请参阅使用 URI 启动应用。...若要查找应用程序进程名称,请打开 PowerShell 并输入命令 get-process,或打开命令提示符并输入命令 tasklist。 这会为当前打开所有应用程序创建进程名称列表。...建议避免在玩游戏时使用 Keyboard Manager,因为它可能会影响游戏性能。 这还取决于游戏访问键方式。 某些键盘 API 不适用于 Keyboard Manager。

    14210

    PowerShell 降级攻击检测与防御

    ,那么我们可以使用 EventSentry 终止那些在命令行中使用 -version 2参数 powershell 进程。...如果攻击者试图使用 PS v2.0 引擎启动恶意 PowerShell payload,那么 EventSentry 几乎会立即终止该 powershell.exe 进程。...散弹枪方法 通过上面的方式无法满足所有需求,比如通过快捷方式调用 PowerShell V2 而不是命令行。...我们注意到 Windows Powershell 事件 ID 是 400,当这个事件启动时会告诉 EngineVersion字段现在启动 powershell 版本信息,例如:当启动 PowerShell...通过其他二进制文件执行 PowerShell 代码想法可能与维持权限的人有关,下载另一个二进制文件肯定没有默认安装 PowerShell 有优势,但是攻击者在前期可能会使用内置 Powershell

    2.3K00

    如何在 Linux 中按内存和 CPU 使用查找运行次数最多进程

    在这篇文章中,我们将看到使用这些命令按内存和 CPU 使用率显示正在运行进程ps命令。 在 Linux 中,ps 代表进程状态。...按内存和 CPU 使用情况查看正在运行进程 到目前为止,我们已经了解了ps命令是什么、它是如何工作,以及如何通过 Linux 上 ps 命令查看整体状态。...我们现在将检查机器上正在运行进程 CPU 和内存使用情况。请执行下面给出以下 ps 命令以查看 Linux 机器上正在运行进程内存或 RAM 使用情况。...如何查看更多命令选项 到目前为止,我们已经通过了一些最常用 ps 命令来查看 Linux 系统上内存和 CPU 使用情况下正在运行进程。...$ man ps $ ps --help 但是,您也可以尝试使用默认系统监控工具来检查文件系统使用情况、内存使用情况和 CPU 使用情况。

    3.9K20

    2.Powershell基础入门学习必备语法介绍

    1.在 PS 6 之前 sc 是 Set-Content cmdlet 别名, 因此若要在 ps6 之前 PowerShell 版本中运行 sc.exe 命令,必须使用包含文件扩展名 exe完整文件名...Tips : Get-Help 也可用于帮助查找 PowerShell 相关命令,但与 Get-Command 相比它采用不同且较为间接方式。...格式设置文件 一个 PS XML 文件,它具有 .format.ps1xml 扩展名且定义 PS 如何基于对象 .NET Framework 类型来显示对象。...主机应用程序 将 PS 引擎加载到其进程中并使用它执行操作程序。 输入处理方法 Cmdlet 可用于处理其以输入形式所接收记录一种方法。...PS数据文件 具有 .psd1 文件扩展名文本文件。 PS 将数据文件用于多种用途,例如存储模块清单数据和存储用于脚本国际化已翻译字符串。 PS驱动器 一个提供直接访问数据存储虚拟驱动器。

    5K10

    渗透测试与开发技巧

    : wevtutil qe /f:text "windows powershell" 查找指定数量日志内容: wevtutil qe /f:text "windows powershell" /c:...快捷方式参数隐藏技巧 将payload放置在260个空字符之后,这样无法在文件属性查看payload,可以用来在快捷方式中隐藏payload,欺骗用户点击,隐蔽执行代码 参考: 《渗透技巧——快捷方式文件参数隐藏技巧...配置文件 修改powershell配置文件,后门在powershell进程启动后触发 查看是否使用配置文件: Test-Path $profile 创建配置文件: New-Item -Path $profile...Tips 50 mklink 用于创建符号链接,可理解为快捷方式 创建目录c:\test\1,指向c:\temp,可使用以下操作: (1) 使用/D参数命令创建一个链接: mklink /D "c:\test...\1" "c:\Temp" (2) 使用/J参数命令创建一个联接: mklink /J "c:\test\1" "c:\Temp" 差异: 使用/D参数创建链接,文件属性多了"快捷方式" 使用/J不需要管理员权限

    4.5K20

    【HTB系列】靶机Access渗透测试详解

    发现报错 无法启动PASV传输,那我们加个 --no-passive 使用FTP被动模式。...7z l -slt Access\ Control.zip 参数说明: l:用于显示压缩文件信息 Slt:属于l下子命令用来显示压缩文件技术信息 ?...压缩文件使用AES-256 Deflate进行加密,我们把密码HASH提取出来到时候破解用。...我们在看下另一个文件。 ? 是一个access数据库文件,里面应该会出现用于解压压缩文件密码。你可以用工具打开查看里面的数据一个一个找找到需要密码。 ?...这里我要说一下就是这里创建快捷方式是存在内存里面的,在调用这个函数SAVE函数之前,这个快捷方式是存在内存里面的,我们只是需要这个ZKAccess3.5Security System.lnk里面的详细工整信息只是通过这个方式查看而已

    1.8K20

    解决 mklink 使用各种坑(硬链接,软链接符号链接,目录链接)

    ,而这种链接跟快捷方式是不一样。...---- 0x00 背景介绍:mklink mklink 可以像创建快捷方式一样建立文件文件链接,但不同于快捷方式是,mklink 创建链接绝大多数程序都不会认为那是一个链接,而是一个实实在在文件文件夹...使用方式 适用于 快捷方式小箭头 不带参数 文件 有 /D 文件夹 有 /J 文件夹 有 /H 文件 无 上面的表格顺序,从上到下行为从越来越像快捷方式到越来越像两个独立文件夹。...这时,使用管理员权限启动 cmd 是最简单做法。不过也可以考虑在 本地安全策略(secpol.msc)\本地策略\用户权利分配 中添加当前用户。...欢迎转载、使用、重新发布,但务必保留文章署名 吕毅 (包含链接: https://walterlv.com ),不得用于商业目的,基于本文修改后作品务必以相同许可发布

    30.8K11

    巧用符号链接移动文件夹位置

    简单说,符号链接就是快捷方式,不过和快捷方式不同是,符号链接会被识别为真实文件或者文件夹。...而快捷方式这个东西,如果你在Windows下用过命令行的话,应该可以注意到快捷方式只是一个特殊文件,它有自己文件扩展名lnk。...正因为此,如果你将一个软件重要目录移走,然后用那个目录快捷方式替换它,那么这个软件是无法正常运行。但是如果你用符号链接替换它的话,软件是可以正常运行,就像从来没有移动过这个文件夹一样!...好了,说了这么多,下面就来看看如何使用符号链接这个功能吧!在cmd和powershell中都有对应创建符号链接命令,不过这里我只介绍powershell命令。...,但是启动器还以为游戏在原来位置。

    2.1K10

    如何创建Powershell持久隐蔽后门

    用户开机后每次运行特定快捷方式文件时触发一段恶意powershell 代码,原始应用程序仍然启动,原始图标保留,并且没有powershell.exe窗口弹出。...1、安装后门 这次需要用到powershell攻击框架Empire,使用Empire/data/module_source/persistence/Invoke-BackdoorLNK.ps1这个脚本...-LNKPath是要利用lnk路径,每次打开这个lnk文件时都会执行原始应用程序和 -EncScript后面的恶意powershell代码 先通过empire生成反弹powershell代码 ....看到以上界面就代表后门安装完成 当我们运行navicat快捷方式同时 可以看到powershell.exe已经悄悄链接empire ?...4、总结 利用快捷方式去攻击,已经是一个很老的话题了,但是有时候渗透中添加启动项/服务/任务计划失败情况下可以尝试用此方法,劫持一个经常使用程序快捷方式,达到权限维持效果,windows下基于powershell

    1.5K70
    领券