可通过PowerShell、cmd、WMIC或Sysinternals Autoruns四种命令行方式查询Windows 11开机启动项:PowerShell支持注册表Run键和启动文件夹;cmd用reg query读取注册表;WMIC枚举自动服务与WMI启动项;Autoruns提供全维度深度扫描并导出CSV。
如果您希望在不打开图形界面的情况下快速获取 Windows 11 中所有注册的开机启动项,可直接通过命令行工具查询系统级和用户级的自启配置。以下是执行此操作的具体步骤:
一、使用 PowerShell 查询启动项(推荐)
PowerShell 提供了统一接口访问多个启动位置,包括注册表 Run 键、启动文件夹及 WMI 启动服务信息,结果结构清晰且支持筛选。
1、以管理员身份运行 PowerShell:右键“开始”按钮 → 选择“Windows Terminal(管理员)”或“PowerShell(管理员)”。
2、执行以下命令列出当前用户注册表中的启动项:
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -ErrorAction SilentlyContinue | Select-Object * | Format-List
3、执行以下命令列出本机所有用户(系统级)注册表中的启动项:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -ErrorAction SilentlyContinue | Select-Object * | Format-List
4、执行以下命令获取当前用户的启动文件夹内所有快捷方式目标路径:
Get-ChildItem "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\" -Filter "*.lnk" -ErrorAction SilentlyContinue | ForEach-Object { $shell = New-Object -ComObject WScript.Shell; $shortcut = $shell.CreateShortcut($_.FullName); [PSCustomObject]@{Name=$_.Name; Target=$shortcut.TargetPath} } | Format-Table -AutoSize
二、使用命令提示符(cmd)配合 reg query 查看注册表启动项
reg query 是内置命令行工具,无需额外安装,可直接读取注册表 Run 键值,适用于轻量级排查场景。
1、以管理员身份运行命令提示符:按 Win + R,输入 cmd,再按 Ctrl + Shift + Enter。
2、查询当前用户启动项:
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
3、查询系统级启动项:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
4、若需导出全部结果至文本文件以便后续分析,可在上述任一命令后添加 > C:\startup_list.txt,例如:
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" > C:\startup_list.txt
三、使用 WMIC 查询与启动相关的服务与程序
WMIC 可枚举标记为“自动启动”的服务及部分通过 WMI 注册的启动行为,补充注册表与文件夹之外的启动来源。
1、在管理员命令提示符中执行以下命令,列出所有启动类型为“Auto”的服务:
wmic service where "startmode='Auto'" get name,displayname,startmode,state
2、执行以下命令,查询所有已注册的 WMI 启动消费者(如事件触发型自启):
wmic /namespace:\\root\subscription path __EventFilter get name,query
3、执行以下命令,列出 WMI 事件绑定关系,确认是否关联到可疑启动行为:
wmic /namespace:\\root\subscription path __FilterToConsumerBinding get *
四、使用 Sysinternals Autoruns 替代方案(命令行模式)
Autoruns 是微软官方认证的深度启动项分析工具,其命令行版本 autoruns64.exe 支持无界面导出全维度启动项,覆盖注册表、服务、驱动、计划任务、映像劫持等 50+ 启动位置。
1、从微软官网下载 Sysinternals Suite 并解压,确保 autoruns64.exe 在当前目录或系统路径中。
2、在管理员 PowerShell 中执行以下命令导出完整启动项清单为 CSV:
.\autoruns64.exe -a * -c -h -s -v -o C:\autoruns_full.csv
3、执行以下命令仅导出非微软签名的启动项(高风险项优先识别):
.\autoruns64.exe -a * -c -h -s -v -m "False" -o C:\non_microsoft_startup.csv
4、导出完成后,可用记事本或 Excel 打开 CSV 文件,重点关注 "Image Path"、"Publisher"、"Verified" 列 判断可信度。
