sdr77
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору разбираясь с Планировщиком на семерке (она же 2008r2) и десятке (не ставил соотв. серверов), я просмотрел задачи, которые туда понапиханы производителем, и нашел только одну полезную: RegIdleBackup она скидывает резервную копию реестра в %SystemRoot%\System32\config\RegBack по довольно глупому расписанию, причем делает только одно поколение бэкапа. внутри у нее запуск <ClassId>{ca767aa8-9157-4604-b64b-40747123d5f2}</ClassId> поиск по реестру, и внутри {ca767aa8-9157-4604-b64b-40747123d5f2} - "запуск" regidle.dll // это и есть пример COM surrogate или DLL surrogate, если поищете эти слова, // то узнаете кое-что интересное про локальный взлом винды. вопрос: как это запустить вручную и чтобы сбросило реестр ? во время работы задачи появляется процесс taskhost.exe (он же светится в аудите, включенном на директорию System32\config\RegBack и файлы внутри нее ), я сделал с него дамп - внутри ничего полезного не нашел. потом перепробовал из тех статей: rundll32, rundll32 {-/}sta, rundll32 {/-}localserver, dllhost /Processid:{...} - облом по всем пунктам. может прав локального админа недостаточно ? тогда прошу порекомендовать нежирный сервис (и не сам Планировщик), который будет запускать от имени SYSTEM все что локальный админ с локалхоста (не с сети !) прикажет ком.строкой. сейчас пока работает так: 1) в основном Планировщик остановлен и запрещен 2) по потребности запуск Планировщика переводится в demand 3) Планировщик запускается, запрещаются все известные сливщики телеметрии (а сколько осталось неизвестных ?), запрещается оригинальный RegIdleBackup. 4) добавляется из xml моя задача RegIdleBackup2, она запускается, пауза 30 сек, останавливается и запрещается к запуску Планировщик. 5) через movefile от Руссиновича планируется перемещение бэкапа реестра на след.перезагрузку, чтобы получилось несколько поколений. хинт: чтобы вручную стартовать и останавливать планировщика, надо заменить значение в ключе реестра HKLM/SYSTEM/CurrentControlSet/services/Schedule/Security/Security на аналогичное, но от того сервиса, который можно вручную, например Spooler. используя cygwin и его regtool можно сделать это одной строкой: regtool set -b '/HKLM/SYSTEM/CurrentControlSet/services/Schedule/Security/Security' `regtool get -b '/HKLM/SYSTEM/CurrentControlSet/services/Spooler/Security/Security'` ps: пока писал, понял что рекомендовать нежирный сервис не надо. я его сделаю сам через srvany.exe но не пропадать же написанному ? |