瑞星卡卡安全论坛

计划任务我们一般都不怎么用它，有的时候反而给hacker留下获得管理权的后门，所以我们可以删掉它。首先我们要了解计划任务文件夹在那里，有个问题我忘了它在那里了，所以我们就用最通用的方法搜索（让计算机帮我们干），记着在搜索文件类型把搜索隐藏文件佳和文件选上（因为好多病毒或系统文件都是隐藏的），“计划任务”在D:\Documents and Settings\All Users\「开始」菜单\程序\附件\系统工具 被搜索到，查看属性可以得到一些信息，目标%SystemRoot%\explorer.exe ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{21EC2020-3AEA-1069-A2DD-08002B30309D}\::{D6277990-4C6A-11CF-8D87-00AA0060F5BF}，着说明它是一个特殊文件夹，起始位置%HOMEDRIVE%%HOMEPATH%要知道这些是什么，你可以把着个地址粘贴到地址栏去自己试试看看。我们找到计划任务就可以自己添加计划任务了。这些是在windows下的操作，我们用远程连接一般都是用dos命令来启动的，所以at着个命令你应该去了解，打开命令提示符输入at/？这里?的意思是让计算机给出解释（你如果想学习其他的dos命令也可以用/?的方法去学习），如果你的xp是中文的我想解释已经很清楚了/delete可以把所有已计划的命令都删除。
如果其他的hacker想用计划任务的方法添加一个管理用户的话，他们可以想办法启动你的计划任务所以我们可以让计划任务服务停止，打开控制面板》性能与维护》管理工具》服务项，这里面你可以找到各种windows启动的服务（有些病毒和木马就是在里面作成服务来启动的）找到Task Scheduler，你可以看到描述着就是计划任务的服务，点属性打开你可以把服务状态停止，然后把启动类型改为已禁用。到着里我们觉得还是不保险，你可以用regedit或regedt32打开注册表，在编辑里面用查找（找木马或病毒也可以用着中方法来找），现在我们搜索Task Scheduler着名字（用F3查找下一个），当我找到[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup]地址时，找到Task Scheduler项查看它的数据里面是%SYSTEMROOT%\schedlgu.txt 意思是系统文件夹windows\schedlgu.txt我们打开着文件可以看到原来着是计划任务的日志文件，从中可以概括的了解到计划任务干了些什么，通过一些注册表的知识可以了解到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下面是启动服务的项（我建议你去买本注册表的书来看看就可以更全面的了解注册表）你如果有兴趣也可以在里面照样去做一个自己的服务或木马。好了下面在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\parameters]下是计划任务要启动需要的dll（同样我们可以想到木马或病毒的后门dll也可以放在着下面）,查看servicedll的数据%SystemRoot%\system32\schedsvc.dll原来计划任务启动的是这个动态连接库dll，我们可以想想看如果来个釜底抽薪把着个文件的dll名字改了或删了（建议最好不要删如果你删了又要想恢复的话就只能去别人电脑上去拷了）着计划任务就不能用了，想启动服务也不可能了（或把注册表中的数据里面的名字改了也一样的效果，不过一般最好不要乱动注册表的数据，因为万一你忘了改成什么名字的话那你就要哭了）。所以可以把%SystemRoot%\system32\schedsvc.dll也就是windows\system32\文件夹下schedsvc.dll改名为1schedsvc.dll（不过这里要注意windows有自动保护系统文件的功能，所以有个文件夹里面还有着个文件，我们可以用老办法搜索schedsvc.dll文件的方法把它找出来（注意把选上搜索隐藏文件和文件夹哦,还有要把文件夹选项》查看隐藏受保护文件夹内容选项去掉，选择显示所有文件和文件夹），在搜索结果里面我们看到2个文件夹里面有着个文件，一个是windows\system32\一个是windows\system32\dllcache\后者就是系统恢复dll文件要用的文件夹，所以我们要把着两个文件夹中的schedsvc.dll都改名为1schedsvc.dll（改为其他的名字也可以不过要一致，之后windows会弹出对话框，你点取消，确定就可以了）。改完之后在搜索以下schedsvc.dll文件，如果没搜索到就表明修改成功了，计划任务也就无法启动了。