トレース: jobfile

Windowsのタスクスケジューラに登録されたジョブの分析

  • スケジュールされたタスクは以下に保存されている(はず)。
  • Windows 7/2008については、XMLで定義されているので、そのままファイルの内容を確認しても良いかも!?
OS パス ファイル名
Windows XP/2003 C:\WINDOWS\Tasks *.job
Windows 7/2008 C:\Windows\System32\Tasks 登録したタスク名 (拡張子無し)

参考サイト

Job File Parser

使用例

  • Windows XP に登録されたタスクの分析
# python jobparser.py -f command.job
Product Info: Windows XP
File Version: 1
UUID: {9B4E2821-27E3-4252-9BF7-82FA99F566E7}
Maximum Run Time: 72:00:00.0 (HH:MM:SS.MS)
Exit Code: 0
Status: Task has not run
Flags: TASK_FLAG_INTERACTIVE, TASK_FLAG_DELETE_WHEN_DONE
Date Run: Task not yet run
Running Instances: 0
Application: C:\WINDOWS\system32\cmd.exe
Working Directory: C:\WINDOWS\system32
User: user01
Comment: Comment not set
Scheduled Date: Nov 27 18:00:00.0 2012
forensics/jobfile.txt · 最終更新: 2012/11/27 06:01 by kikuzou
 
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Share Alike 4.0 International
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki