计划任务命令 第1篇
在Windows计划任务中,任务是通过一种层级结构进行组织和管理的。这个层级结构允许你将任务分组,使任务管理更加有条理和灵活。计划任务的层级结构包含以下几个层级:
任务的结构在Windows计划任务中通常包含以下主要部分:
可以通过任务计划程序(如图所示)查看Windows计划任务的结构,在左侧面板,你会看到任务树,其中列出了计划任务的层级结构,在右侧面板,你会看到任务列表,其中显示了所选文件夹或计划任务的详细信息。这包括任务的名称、描述、状态以及下一次触发的时间等信息,同时在右边可以新建计划任务等等操作,这里不作讨论。
计划任务命令 第2篇
方式一:控制面板–>管理工具–>任务计划程序 方式二:运行窗口或者撞断面板执行如下命令: Windows10系统的任务计划程序窗口如下:
其中创建任务分创建基本任务和创建任务,这两者本身并没有区别,只是创建的过程,一个是可以最简化的任务创建方式,一个是完整的创建窗口页面
首先进行常规设置,字段描述于图片后面呈现
这里输入一个任务的名称,很好理解,可任意填写。
就是你选择的文件夹处在的位置,这里的\表示创建的位置在任务计划程序库的下面,也就是任务计划程序的根目录下面。
你当前登陆的账号,当前我是_所以创建者就是_
对这个任务的描述,可任意填写
这里点更改用户或组,可以选择切换到其他账户或者组。 里面可以选择到三类账号以及组如,下: 1.域账号 2.本地账号 3.系统账号,如system 4.组,含域、本地组
这里我不更改账号了,我直接用登录的administrator进行操作。 这里选择的账号和组,会使用该账号的权限进行任务的执行,前提是创建任务的账号可以操作这个执行的用户账户,否则需要输入对应的账号密码。 我们常规会用到如下账号: 1.具有本地管理员的账号,可是是创建者的账号,也可以是别的 2.具有域权限的账号 3.使用system,因为system具有很大的权限,可以执行很多本地管理员也无法执行的任务。
只有用户登陆时才能执行,如果用户账户注销了,这个任务怎么也无法执行。通常用于一些需要输入账号密码,但是不方便输入的任务,因为本地你输入了账号密码,是会保存在任务计划中的。
一般我们默认会选线该选项,并且,当需要访问其他资源,如域中的,其他服务器的资源,我们需要保存一下账号的密码。
有时候我们使用的管理员账号,但是是需要提升,才能执行管理员的权限,这个作用就是帮你提升到管理员的权限了。
就是把任务隐藏了,很少使用,如果隐藏了,要找出来,需要额外通过命令找到他。我这里就不隐藏了,下一篇文章会讲到如何隐藏任务计划,如何发现隐藏的任务计划。
计划任务命令 第3篇
按下 Win + R 键,然后输入 “”,按 Enter 键打开任务计划程序或在搜索框中输入_任务计划程序_,然后选择打开或以管理员身份运行。(图参考一、1. )
在任务计划程序窗口中,展开 “任务计划程序库”,找到您要创建任务的文件夹。
右键单击空白处,然后选择 “创建基本任务…”或“创建任务…”。
根据实际情况填写
计划任务命令 第4篇
命令提示符提供了一种快捷的方式来设置自动关机,适合需要快速操作的场景。
常用命令:
1、定时关机命令:shutdown /s /t 时间其中,时间以秒为单位。例如,设置电脑在1小时后自动关机,命令为:shutdown /s /t 36002、取消定时关机:如果需要取消已经设置的关机任务,可以输入:shutdown /a该命令会立即中止关机任务。
使用步骤:
按下Win+R键,输入cmd并回车,打开命令提示符。输入上述命令,根据需求设置自动关机。
计划任务命令 第5篇
任务计划程序是Windows系统中的一个强大工具,可以帮助我们实现各种自动化操作,包括定时关机。
步骤:
如果设置的过程中,能够明显感觉到自己的电脑比较卡顿,那么则可以通过专业的驱动管理工具“驱动人生”进行检测驱动存在问题,然后进行安装修复。
②、软件会自动识别存在问题的硬件驱动,推送相应的驱动更新到列表,用户选择升级驱动便可以;
计划任务命令 第6篇
windows系统中,可通过命令行创建任务计划,用到 schtasks 命令
安排命令和程序定期运行或在指定时间内运行。从计划表中添加和删除任务,按需要启动和停止任务,显示和更改计划任务。
/tn TaskName:指定任务的名称 /tr TaskRun:指定任务运行的程序或命令。键入可执行文件、脚本文件或批处理文件的完全合格的路径和文件名。如果忽略该路径, 将假定文件在Systemroot\System32 目录下。 /sc schedule:指定计划类型。有效值为 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE。
/mo modifier:指定任务在其计划类型内的运行频率。这个参数对于 MONTHLY 计划是必需的。对于 MINUTE、HOURLY、DAILY 或 WEEKLY 计划,这个参数有效,但也可选。默认值为 1
/d dirlist:指定周或月的一天。只与 WEEKLY 或 MONTHLY 计划共同使用时有效。
/m month[,month…]:指定一年中的一个月。有效值是 JAN ~ DEC 和 * (每个月)。/m参数只对于 MONTHLY 计划有效。在使用 LASTDAY 修饰符时,这个参数是必需的。否则,它是可选的,默认值是 * (每个月)。 /i InitialPageFileSize:指定任务启动之前计算机空闲多少分钟。键入一个1 ~ 999之间的整数。这个参数只对于 ONIDLE 计划有效,而且是必需的。 /st StartTime:以HH:MM:SS24 小时格式指定时间。默认值是命令完成时的当前本地时间。/st参数只对于 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY 和 ONCE 计划有效。它只对于 ONCE 计划是必需的。 /sd StartDate:以MM/DD/YYYY格式指定任务启动的日期。默认值是当前日期。/sd参数对于所有的计划有效,但只对于 ONCE 计划是必需的。 /ed EndDate:指定任务计划运行的最后日期。此参数是可选的。它对于 ONCE、ONSTART、ONLOGON 或 ONIDLE 计划无效。默认情况下,计划没有结束日期。 /s Computer:指定远程计算机的名称或 IP 地址(带有或者没有反斜杠)。默认值是本地计算机。 /u [domain]user:使用特定用户帐户的权限运行命令。默认情况下,使用已登录到运行 SchTasks 的计算机上的用户的权限运行命令。 /p password:指定在/u参数中指定的用户帐户的密码。如果使用/u参数,则需要该参数。 /ru {[Domain]User|“System”}:使用指定用户帐户的权限运行任务。默认情况下,使用用户登录到运行 SchTasks 的计算机上的权限运行任务。
/rp Password:指定用户帐户的密码,该用户帐户在/ru参数中指定。如果在指定用户帐户的时候忽略了这个参数, 会提示您输入密码而且不显示键入的文本。使用 NT Authority\System 帐户权限运行的任务不需要密码, 也不会提示索要密
示例:
将定时执行脚本 C:\test\ 加入到任务计划中,任务名为 “Test Script” 每20分钟执行一次
计划任务命令 第7篇
如果你经常需要使用自动关机功能,可以创建一个快捷方式,方便随时调用。
步骤:
以上就是电脑自动关机怎么设置,自动关机命令介绍。如果遇到网卡、显卡、蓝牙、声卡等驱动的相关问题都可以下载“驱动人生”进行检测修复,同时驱动人生支持驱动下载、驱动安装、驱动备份等等,可以灵活的安装驱动。
计划任务命令 第8篇
“”和“”都是Windows 任务计划程序服务使用的动态链接库(DLL)。
是任务计划程序的主要 DLL,它提供了在 Windows 中管理计划任务的核心功能和接口。它包含各种函数和接口,应用程序可以使用这些函数和接口来编程与任务计划程序服务进行交互。以下是一些 支持的主要 API:
是计划任务组件的 DLL 文件,它是 的辅助 DLL,用于支持任务计划程序的某些功能。 主要包含以下 API:
主要用于支持计划任务处理程序的执行和交互,使开发者能够为计划任务定义自定义的执行逻辑,并与处理程序进行交互。
总结一下, 负责提供任务计划程序的核心功能,而 则通过 COM 接口暴露任务计划程序服务,使应用程序可以通过基于 COM 的编程与任务计划程序进行交互。
计划任务命令 第9篇
按下 Win + R 键,然后输入 “”,按 Enter 键打开任务计划程序或在搜索框中输入_任务计划程序_,然后选择打开或以管理员身份运行。(图参考一、1. )
在任务计划程序窗口中,展开 “任务计划程序库”,找到您要取消的任务。
右键单击任务,然后选择 “删除”,确认删除操作。
您可以使用命令行工具 schtasks 来取消计划任务。打开命令提示符或 PowerShell 终端,然后使用以下命令:
schtasks /delete /tn _任务名称_ /f
将 “任务名称” 替换为您要取消的任务的实际名称。使用 /f 参数可以强制删除任务而不需要确认。
请注意,取消计划任务可能需要管理员权限。如果您没有管理员权限,可能无法取消某些任务。
效果图
计划任务命令 第10篇
直接双击每5执行javs一次就可以新建一个计划任务,每五分钟执行一次
我们也可以在终端中直接执行bat里面的命令创建计划任务
任务计划程序创建成功
为了避免不执行,我们进行如下设置
直接双击每3执行javs一次就可以新建一个计划任务,每3分钟执行一次执行,也就是每三分钟执行一次
计划任务命令 第11篇
新建计划任务的方法有多种,包括使用图形用户界面 (GUI) 工具、使用 PowerShell 命令以及使用系统自带的命令行工具。但是我们想要做的的是怎么样绕过终端安全进行写计划任务进行权限维持。
方法一:使用 命令来创建计划任务。例如:
但是如果是在存在签名的Chrome进行写计划任务360是没有拦截的,基本可以判断360对使用schtasks 添加计划任务的拦截是判断添加计划任务的主体是否可信任。
在管理员权限下使用Powershell Register-ScheduledTask cmdlet来创建计划任务。例如
360是没有任何反应的。
使用 New-ScheduledTask cmdlet 来创建计划任务。在高权限下同样没有拦截,例如:
但是Register-ScheduledTask和New-ScheduledTask创建计划任务都需要_权限,通用性不太好,那么我们可以通过WMI和COM进行创建计划任务,在 Windows 系统中,用于创建计划任务的 COM 接口主要有两个:
例如使用 _Task Scheduler Scripting Object Model_ 接口:
其他可以用来创建计划任务的接口还有:
命名空间是 .NET Framework 中提供的用于操作计划任务的命名空间。它位于 程序集中,可以用于创建、修改、删除以及管理计划任务。
以下是一些常用的类和接口在 命名空间中:
例如可以使用使用 TaskScheduler 类库来创建和管理计划任务:
1.引用 程序集,在 Visual Studio 中通过 NuGet 包管理器安装此程序集,或者手动将它添加到项目的引用中。
2.使用程序集中的TaskService类和TaskDefinition类来创建计划任务。
使用 WMI (Windows Management Instrumentation) 来创建计划任务需要调用 Win32_ScheduledJob 类。但是,请注意在 Windows 10 和较新的 Windows 版本中,Win32_ScheduledJob 类已被弃用,并且不再推荐使用,这里不再讨论。
直接使用Windows API来创建计划任务,而无需依赖外部库或COM接口,这里的方法是调用TaskCreate“”库中的方法来创建一个新任务。
计划任务命令 第12篇
如果是需要批量导入到多台机器的,可以把脚本\程序的位置统一路径放置。 然后把第一台的完成任务导出,之后在其他机器导入任务就可以了。
导出如下图,右键任务计划程序选择文件夹进行导出即可导出任务计划程序。
以管理员身份运行Powershell 键入以下命令以导出计划任务,然后按Enter键:
Export-ScheduledTask -TaskName “任务计划程序名称” -TaskPath “\TASK-PATH-TASKSCHEDULER” | out-file 导出文件地址
以管理员身份运行Powershell 键入以下命令以导入计划任务,然后按Enter键:
Register-ScheduledTask -xml (Get-Content ‘任务计划程序名称xml文件地址’ | Out-String) -TaskName “任务计划程序名称” -TaskPath “\TASK-PATH-TASKSCHEDULER” -User 电脑名称\用户名称 –Force
计划任务命令 第13篇
在进程中我们可以很明显定位到任务计划程序服务(Task Scheduler service)的主进程;
获取对应的PID使用Process Moniter进行监视运行,可以看到新建的计划任务会读取注册表,计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache 是Windows操作系统中存储计划任务信息的一部分注册表路径。在这个路径下,Windows保存了计划任务的一些配置信息,但并非所有计划任务的完整设置,而是一些缓存和元数据信息。
该注册表路径下的主要子项如下:
往下可以看到新建了一个文件夹,并新建了一个与我们同名的文件,打开为一个XML文件,可以知道计划任务的详细配置信息是保存在C:\Windows\System32\Tasks\[计划任务名]XML文件中的,而不是直接保存在注册表中。
在这个文件夹中,每个计划任务都有一个对应的XML文件,保存了包含计划任务的触发器、操作、条件、设置等信息。任务的完整配置。
可以使用下面Powershell脚本来解析计划任务的 XML 配置文件
在CMD中可以使用schtasks /query 命令获取计划任务的信息,schtasks /query /xml 指定 /xml 参数可以以XML格式列出计划任务的配置信息,包括任务的详细设置和触发器。
在Powershell中可以通过Get-ScheduledTask cmdlet 来获取计划任务详细信息,
计划任务命令 第14篇
刚才已经查看过了,计划任务程序是看不到了
查询不到,这里有一个细节大家注意,指名道姓地查询 test4 的时候显示的是拒绝访问,查询不存在的 test5 的时候是找不到指定的文件
如果大家在测试的过程中没有注意细节,很可能与一些发现失之交臂
这种情况下 powershell 是可以直接看到的
所以修改 SD 可以对 schtasks 和计划任务程序隐藏,对 powershell 没有隐藏效果
这样显示的 Actions 不是很清晰,通过下面的命令查看
Autoruns 是 SysinternalsSuite 套件中一款工具,可以很方便查看包括计划任务等启动项排查
Autoruns 依旧没有
刚刚我们将计划任务文件删除了,我们可以看一下,计划任务执行了几次后,看看是否产生了新文件
没有,文件角度看不到
开启计划任务日志
等待下一次执行后,去查看计划任务日志
打开日志管理器
应用程序和服务日志 -> Microsoft -> Windows -> TaskScheduler
筛选 任务已完成 即事件ID 102
通过计划任务日志可以查询到隐藏计划任务的执行
这回通过注册表就没什么好办法了,但是可以作为辅助之一
如果此计划任务的名称以及 Actions 等都看起来和正常的计划任务差不多,那么即使通过 powershell 查到了一堆信息,也不容易从中发现,尤其是它还处于一个比较深的目录,powershell 的结果和计划任务程序的结果一一对比工作量会比较大,不是很好处理
上述的两种隐藏,在计划任务服务重启后,还会有效吗
这里不演示了,直接给结论
计划任务服务重启,不会影响通过 Index 实现隐藏的计划任务的执行,计划任务一切照常
不会生成计划任务文件
计划任务服务重启,不会影响通过删除 SD 实现隐藏的计划任务的执行,计划任务一切照常
不会生成计划任务文件
计划任务服务重启,不会影响通过删除 SD 实现隐藏的计划任务的执行,计划任务一切照常
不会生成计划任务文件
隐藏效果依旧,计划任务服务重启,不会影响通过删除计划任务的执行,计划任务一切照常
不会生成计划任务文件
为什么要在这里反复提是否生成计划任务文件呢?其实这里有一个小细节如果一个计划任务禁用,再启用,其实是会按照注册表重新生成计划任务文件如果一个计划任务属性进行了修改,例如调整了Actions,也会按照新的情况重新生成计划任务文件但是,重启计划任务服务并不会重新生成计划任务文件
对于仅修改 SD 而不是删除这种情况,可以有几个方向考虑(当然,遇到这种情况肯定是前两种脚本已经执行过了,没有发现隐藏的计划任务)
这里就以第三种方法做个演示吧
直接通过 powershell 脚本来完成
脚本执行比较慢,会在当前目录生成 和 用来中转,如果当前目录本来就有这两个文件,建议新建文件夹,并在其中执行,免得出现覆盖正常文件
直接通过 powershell 删除就好,如果这种方法还同时使用了 Index 置 0 ,可以考虑从注册表修改 Index 为非 0 值, 之后通过 powershell 删除
成功删除计划任务
文件夹 testdir
计划任务 test5
文件夹也有一个 SD 值,或者说只有一个 SD 值
先把值保存下来,这样一次就能把实验做完
保存后删除一半
刷新计划任务程序
并没有隐藏效果
刷新计划任务程序
报错了,显示无法找到文件夹,再次刷新
文件夹以及文件都没了
计划任务效果正常
计划任务正常执行
计划任务正常执行
计划任务日志处依旧可以看到
其他方式看不到
思路就是获取所有注册表子项,并将其中无 SD 项的找出来,直接使用计划任务删除 SD 时使用的脚本
这样就可以找出这个隐藏的注册表了
重启计划任务后,计划任务依旧隐藏,没有产生新的计划任务文件,计划任务仍旧有效
上面能够被排查出来,是因为存在无 SD 项的文件夹,如果攻击者再变态一点,直接把注册表中文件夹都删除了,会怎么样呢?
不着急直接变成变态,我们先尝试将文件夹中的计划任务test5删除掉
不耽误计划任务执行
开始变态,删除掉 testdir
不耽误计划任务执行
这次就排查不出来了,当然了计划任务日志里还是有的
重启后计划任务就没了
如果看过上一篇文章的朋友肯定能知道这是为什么 《计划任务执行由谁决定 | Windows 应急响应》
一场有意思的对抗
将这类隐藏大体按照以下分类
文章稍长,为保证观感,为大家准备了 PDF 版本
提取码: yjxy
插个 flag ,如果恶趣味的攻击者向计划任务执行日志中定期写一堆不存在的计划任务日志那会怎么样 ?真的遇到了,但愿你是个不认真的人~