Till exempel kommer skadlig kod ofta skapa en uppgift som letar efter vissa förutsättningar att lansera, hämtar ny skadlig kod på ett schema, eller använder schemalagda uppgifter som ett sätt att alltid kvar i minnet. Jag har sett malware jägare kämpar för att ta reda på hur den skadliga koden "håller åter infektera sin rent system." Svar: Kontrollera Schemaläggaren. Mellan aktuella och äldre versioner av Windows, finns det tre olika verktyg för schemaläggning av aktiviteter. Här är en snabb resumé av sina meningsskiljaktigheter. Den tidiga föregångare till Windows Schemaläggaren, AT.
exe, bara arbetat på kommandoraden. Schtasks.exe sattes i Windows XP och Windows Server 2003 som en ersättning för AT.exe, men AT.exe var fortfarande ingår för bakåtkompatibilitet. Windows Schemaläggaren är en mer funktionell GUI program som har funnits i en eller annan form, sedan Windows 95 Plus Pack. Alla tre verktyg förlita sig på Schemaläggaren service.Varje tre task-schemaläggning verktyg kan arbeta lokalt eller på distans mot andra värdar. När det används på distans använder AT.exe Remote Procedure Calls (RPC) inom Server Message Block (SMB) paket.
SCHTASKS och Windows Schemaläggaren använda native RPC och hoppa SMB integration. När det används på distans hanterar riktade värdens Schema service tunga arbetet med att skapa, schemaläggning, och kör jobbet. De äldre versionerna av dessa verktyg kräver att uppgiften administratören vara en privilegierad användare, men uppgifter som inte kräver höjd kan skapas genom regelbundna användarkonton. Schemalagda aktiviteter genomförs som individuella filer. Varje uppgift namnges enligt ett system unik Security Identifier Beskrivning (eller SID) eller ges ett användar- eller system levereras namn.
Uppgifter lagras i% Windir% uppgifter eller% windir% System32Tasks som standard, och kan ha .job förlängningar. De .job filer är binära, men de kan avkodas (mer om detta n