通过

SMS_AutoStartSoftware客户端 WMI 类

  • 项目

SMS_AutoStartSoftware是客户端 Windows Management Instrumentation (WMI) 类,在 Configuration Manager 中,该类枚举自动启动操作系统的软件或紧跟在操作系统之后的软件。

以下语法在托管对象格式 (MOF) 代码中进行了简化,并包含所有继承的属性。

语法

Class SMS_AutoStartSoftware   
{  
      String BinFileVersion;  
      String BinProductVersion;  
      String Description;  
      String FileName;  
      String FilePropertiesHash;  
      String FilePropertiesHashEx;  
      String FileVersion;  
      String Location;  
      String Product;  
      String ProductVersion;  
      String Publisher;  
      String StartupType;  
      String StartupValue;  
};

方法

SMS_AutoStartSoftware 不定义任何方法。

属性

BinFileVersion
数据类型String

访问类型:只读

限定符:无

保留。 供内部使用。

BinProductVersion
数据类型String

访问类型:只读

限定符:无

保留。 供内部使用。

Description
数据类型String

访问类型:只读

限定符:无

要向用户显示的文件说明,例如“AT 样式键盘的键盘驱动程序”或“Microsoft Word for Windows”。

FileName
数据类型String

访问类型:只读

限定符:无

文件的名称,包括扩展名,但不包括路径,例如“Notepad.exe”。

FilePropertiesHash
数据类型String

访问类型:只读

限定符:[key]

派生自文件 、、PublisherDescriptionProductVersion、 和 FileName 属性的组合Product的唯一 128 位签名。

FilePropertiesHashEx
数据类型String

访问类型:只读

限定符:无

一个唯一的 128 位签名,派生自文件、、、 和 属性的组合ProductFileNameDescriptionProductVersionPublisherBinFileVersionBinProductVersionFileVersion

FileVersion
数据类型String

访问类型:只读

限定符:无

文件的版本,例如“3.00A”或“5.00.RC2”。

Location
数据类型String

访问类型:只读

限定符:无

发现自动启动文件的路径。 此路径相对于 属性的值 StartupType 。 例如,当 属性设置为“HKEY_LOCAL_MACHINE”时,StartupType它可以是“Software\Microsoft\Windows\CurrentVersion\Run”。

Product
数据类型String

访问类型:只读

限定符:无

分发文件时使用的产品的名称,例如“Microsoft Windows”。

ProductVersion
数据类型String

访问类型:只读

限定符:无

分发文件时使用的产品版本,例如“3.00A”或“5.00.RC2”。

Publisher
数据类型String

访问类型:只读

限定符:无

生成该文件的公司,例如“Microsoft Corporation”或“Standard Microsystems Corporation, Inc.”。

StartupType
数据类型String

访问类型:只读

限定符:无

从中自动启动软件的点。 可能的值是:

  • 注册表:当前用户

  • 注册表:本地计算机

  • Win.ini

  • 所有用户启动文件夹

  • 用户配置文件启动文件夹

    StartupValue
    数据类型String

    访问类型:只读

    限定符:无

    与快捷方式关联的应用程序命令字符串。

备注

由于应用程序的性质,许多依赖于系统的软件与系统分开加载。 大多数软件要求操作系统在加载之前运行。 除了许多用于有用目的的应用程序(如声音驱动程序、鼠标驱动程序和其他接口),恶意软件和病毒等项往往将自己置于相同的负载区域中。 可以枚举这些应用程序来监视其某些安全策略和过程的运行状况。

注册表中有八个区域,可以在操作系统启动时运行应用程序。 枚举以下键提供应用程序及其关联路径的列表,可从中检索标头信息:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

    SMS_AutoStartSoftware 枚举 %systemdir%\Win.ini 文件中的所有项,以识别旧版应用程序以及可能使用此非传统激活方法的恶意软件。 此类枚举以下文件条目中的应用程序:

  • win.ini [windows] run=

  • win.ini [windows] load=

    SMS_AutoStartSoftware枚举“开始”菜单中“启动”文件夹的内容,以提供可从中检索标头信息的二进制文件的路径。 如果二进制文件Rundll32.exe或Rundll64.exe,则 类将从 DLL 文件中检索标头信息,该文件是执行Rundll32.exe的第一个命令行参数。

    例如:

RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

在这种情况下,类从NVCpl.dll而不是Rundll32.exe收集标头信息。

注意

如果可执行文件的标头数据用于 null 公司、产品或版本字段,则大写文件名将替换为 字段。

要求

运行时要求

有关详细信息,请参阅 Configuration Manager客户端运行时要求

开发要求

有关详细信息,请参阅 Configuration Manager客户端开发要求

另请参阅

资产智能客户端 WMI 类
SMS_BrowserHelperObject客户端 WMI 类
SMS_InstalledExecutable客户端 WMI 类
SMS_InstalledSoftware客户端 WMI 类
SMS_InstalledSoftwareMS客户端 WMI 类
SMS_Processor客户端 WMI 类
SMS_SoftwareShortcut客户端 WMI 类
SMS_SystemConsoleUsage客户端 WMI 类
SMS_SystemConsoleUser客户端 WMI 类