计划任务执行由谁决定 ｜ Windows 应急响应

0x00 简介 由于 Windows 不开源，而 Windows 的某一项服务可能受多个配置项影响，所以很多研究员通过逆向的方式，分析服务调用过程，推测执行流程，例如https://mp.weixin.qq.com/s/ktGug1VbSpmzh9CEGKbbdwhttps://mp.weixin.qq.com/s/aS5MRwnYR5pqE1PmKiH24w这里不搞这么复杂，我们通过查询资料得知，计划任务的配置既存在于计划任务文件之中，又存在于注册表之中接下来我们通过简单的实验，确定一下到底是计划任务文件还是注册表在决定着计划任务的执行结果，还是相互同步修改的？测试环境: Windows Server 2016不同操作系统的情况可能不同整体思路如下：创建两个计划任务，一个修改文件，一个修改注册表，之后观察两个计划任务的执行情况计划任务文件地址C:\Windows\System32\Tasks注册表位置注册表相关的在此位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule 计划任务的 id、in ………………………………