Win11如何用命令行查看开机启动项列表_Win11命令行查启动项指令【命令】

可通过PowerShell、cmd、WMIC或Sysinternals Autoruns四种命令行方式查询Windows 11开机启动项：PowerShell支持注册表Run键和启动文件夹；cmd用reg query读取注册表；WMIC枚举自动服务与WMI启动项；Autoruns提供全维度深度扫描并导出CSV。

如果您希望在不打开图形界面的情况下快速获取 Windows 11 中所有注册的开机启动项，可直接通过命令行工具查询系统级和用户级的自启配置。以下是执行此操作的具体步骤：

一、使用 PowerShell 查询启动项（推荐）

PowerShell 提供了统一接口访问多个启动位置，包括注册表 Run 键、启动文件夹及 WMI 启动服务信息，结果结构清晰且支持筛选。

1、以管理员身份运行 PowerShell：右键“开始”按钮 → 选择“Windows Terminal（管理员）”或“PowerShell（管理员）”。

2、执行以下命令列出当前用户注册表中的启动项：
Get-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" -ErrorAction SilentlyContinue | Select-Object * | Format-List

3、执行以下命令列出本机所有用户（系统级）注册表中的启动项：
Get-ItemProperty -Path "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRun" -ErrorAction SilentlyContinue | Select-Object * | Format-List

4、执行以下命令获取当前用户的启动文件夹内所有快捷方式目标路径：
Get-ChildItem "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" -Filter "*.lnk" -ErrorAction SilentlyContinue | ForEach-Object { $shell = New-Object -ComObject WScript.Shell; $shortcut = $shell.CreateShortcut($_.FullName); [PSCustomObject]@{Name=$_.Name; Target=$shortcut.TargetPath} } | Format-Table -AutoSize

二、使用命令提示符（cmd）配合 reg query 查看注册表启动项

reg query 是内置命令行工具，无需额外安装，可直接读取注册表 Run 键值，适用于轻量级排查场景。

1、以管理员身份运行命令提示符：按 Win + R，输入 cmd，再按 Ctrl + Shift + Enter。

2、查询当前用户启动项：
reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"

3、查询系统级启动项：
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"

4、若需导出全部结果至文本文件以便后续分析，可在上述任一命令后添加 > C:startup_list.txt，例如：
reg query "HKCUSoftwareMicrosoftWindowsCurrentVersionRun" > C:startup_list.txt

三、使用 WMIC 查询与启动相关的服务与程序

WMIC 可枚举标记为“自动启动”的服务及部分通过 WMI 注册的启动行为，补充注册表与文件夹之外的启动来源。

1、在管理员命令提示符中执行以下命令，列出所有启动类型为“Auto”的服务：
wmic service where "startmode='Auto'" get name,displayname,startmode,state

2、执行以下命令，查询所有已注册的 WMI 启动消费者（如事件触发型自启）：
wmic /namespace:\rootsubscription path __EventFilter get name,query

3、执行以下命令，列出 WMI 事件绑定关系，确认是否关联到可疑启动行为：
wmic /namespace:\rootsubscription path __FilterToConsumerBinding get *

四、使用 Sysinternals Autoruns 替代方案（命令行模式）

Autoruns 是微软官方认证的深度启动项分析工具，其命令行版本 autoruns64.exe 支持无界面导出全维度启动项，覆盖注册表、服务、驱动、计划任务、映像劫持等 50+ 启动位置。

1、从微软官网下载 Sysinternals Suite 并解压，确保 autoruns64.exe 在当前目录或系统路径中。

2、在管理员 PowerShell 中执行以下命令导出完整启动项清单为 CSV：
.utoruns64.exe -a * -c -h -s -v -o C:utoruns_full.csv

3、执行以下命令仅导出非微软签名的启动项（高风险项优先识别）：
.utoruns64.exe -a * -c -h -s -v -m "False" -o C: on_microsoft_startup.csv

4、导出完成后，可用记事本或 Excel 打开 CSV 文件，重点关注 "Image Path"、"Publisher"、"Verified" 列 判断可信度。