sdr77
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
разбираясь с Планировщиком на семерке (она же 2008r2) и десятке (не ставил соотв. серверов),
я просмотрел задачи, которые туда понапиханы производителем, и нашел только одну полезную:
RegIdleBackup
она скидывает резервную копию реестра в %SystemRoot%\System32\config\RegBack
по довольно глупому расписанию, причем делает только одно поколение бэкапа.
внутри у нее запуск <ClassId>{ca767aa8-9157-4604-b64b-40747123d5f2}</ClassId>
поиск по реестру, и внутри {ca767aa8-9157-4604-b64b-40747123d5f2} - "запуск" regidle.dll
// это и есть пример COM surrogate или DLL surrogate, если поищете эти слова,
// то узнаете кое-что интересное про локальный взлом винды.
вопрос: как это запустить вручную и чтобы сбросило реестр ?
во время работы задачи появляется процесс taskhost.exe (он же светится в аудите, включенном на директорию System32\config\RegBack и файлы внутри нее ), я сделал с него дамп - внутри ничего полезного не нашел.
потом перепробовал из тех статей: rundll32, rundll32 {-/}sta, rundll32 {/-}localserver, dllhost /Processid:{...} - облом по всем пунктам.
может прав локального админа недостаточно ? тогда прошу порекомендовать нежирный сервис (и не сам Планировщик), который будет запускать от имени SYSTEM все что локальный админ с локалхоста (не с сети !) прикажет ком.строкой.
сейчас пока работает так:
1) в основном Планировщик остановлен и запрещен
2) по потребности запуск Планировщика переводится в demand
3) Планировщик запускается, запрещаются все известные сливщики телеметрии
(а сколько осталось неизвестных ?), запрещается оригинальный RegIdleBackup.
4) добавляется из xml моя задача RegIdleBackup2, она запускается, пауза 30 сек,
останавливается и запрещается к запуску Планировщик.
5) через movefile от Руссиновича планируется перемещение бэкапа реестра на след.перезагрузку,
чтобы получилось несколько поколений.
хинт: чтобы вручную стартовать и останавливать планировщика, надо заменить значение в ключе реестра
HKLM/SYSTEM/CurrentControlSet/services/Schedule/Security/Security на аналогичное, но от того сервиса,
который можно вручную, например Spooler. используя cygwin и его regtool можно сделать это одной строкой:
regtool set -b '/HKLM/SYSTEM/CurrentControlSet/services/Schedule/Security/Security' `regtool get -b '/HKLM/SYSTEM/CurrentControlSet/services/Spooler/Security/Security'`
ps: пока писал, понял что рекомендовать нежирный сервис не надо. я его сделаю сам через srvany.exe
но не пропадать же написанному ? |
