 |
注意自動啟動和排程任務證據類型也可能包含來自已編譯PE文件的屬性資料。
|
|
證據類型
|
證據資料防護
|
說明
|
|
自動啟動項目
|
來源
|
自動執行項目的登錄路徑模式
|
|
檔案系統建立時間
|
在檔案系統中建立此項目的時間
|
|
|
名稱
|
與登錄中的自動執行項目相關聯的檔案名稱
|
|
|
登錄路徑
|
自動執行項目的完整註冊表路徑
|
|
|
條目名稱
|
自動執行項目的登錄資料夾或鍵名稱
|
|
|
執行命令
|
用於執行條目的自動執行條目的註冊表值 | |
|
路徑
|
從登錄中獲取的項目檔案路徑
|
|
|
登錄修改時間
|
上次修改登錄檔鍵或相關項目值的時間
|
|
|
排程任務
|
名稱
|
已註冊任務的名稱
|
|
處理行動
|
任務執行的可執行動作
|
|
|
路徑
|
可執行檔案的路徑
|
|
|
已啟動
|
指示任務當前是否已啟動
|
|
|
狀態
|
已註冊任務的運行狀態
|
|
|
隱藏
|
指示任務是否在使用者介面上可見
|
|
|
上次執行時間
|
註冊任務上次執行的時間
|
|
|
下次執行時間
|
註冊任務下一次預定執行的時間
|
|
|
上次執行訊息
|
任務最後執行失敗時返回的訊息
|
|
|
上次執行代碼
|
任務上次執行成功的結果
|