基于RPC的计划任务维权分析学习<\/h1>

前言<\/h2>
本文主要分析通过RPC接口创建计划任务的技术实现，包括ATSvc和ITaskSchedulerService两种方式，以及相关的技术细节和问题。<\/p>

ATSvc方式<\/h2>

基本概念<\/h3>
ATSvc是Windows早期版本中用于创建计划任务的RPC服务，在高版本Windows中需要设置`EnableAt<\/code>为1才可用。<\/p>`

实现步骤<\/h3>


获取UUID<\/strong>：<\/p>

ATSvc的UUID可以从MSDN文档中查询获取<\/li>
<\/ul>
<\/li>

IDL文件编译<\/strong>：<\/p>

从MSDN和ReactOS获取IDL文件<\/li>
使用VS编译生成.h和.c文件<\/li>
需要手动修复include语句不匹配的问题<\/li>
<\/ul>
<\/li>

编译问题解决<\/strong>：<\/p>
#pragma comment(lib,"Rpcrt4.lib")  <\/span>\/\/ 解决NdrClientCall3等函数链接问题
<\/span><\/span><\/span><\/span>
<\/span><\/span>\/\/ 定义MIDL相关函数
<\/span><\/span><\/span><\/span>void<\/span>*<\/span> __RPC_USER MIDL_user_allocate<\/span>(size_t size) {
<\/span><\/span>    return<\/span> malloc(size);
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>void<\/span> __RPC_USER MIDL_user_free<\/span>(void<\/span>*<\/span> p) {
<\/span><\/span>    free(p);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

使用限制<\/strong>：<\/p>

仅适用于Windows 8以下版本<\/li>
在Windows 10即使设置EnableAt为1也无法正常执行<\/li>
<\/ul>
<\/li>
<\/ol>
ITaskSchedulerService方式<\/h2>
基本概念<\/h3>
ITaskSchedulerService是更现代的计划任务RPC服务接口。<\/p>
实现步骤<\/h3>


定义UUID<\/strong>：<\/p>
#define UUID L"86D35949-83C9-4044-B424-DB363231FD0C"
<\/span><\/span><\/span><\/code><\/pre><\/li>

XML任务模板<\/strong>：<\/p>

需要按照MSDN规范创建XML任务描述文件<\/li>
主要字段说明：

RegistrationInfo<\/code>: 任务描述信息<\/li>
Triggers<\/code>: 任务触发条件<\/li>
Settings<\/code>: 执行策略<\/li>
Actions<\/code>: 要执行的操作<\/li>
Principals<\/code>: 权限设置<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

关键字段说明<\/strong>：<\/p>

MultipleInstancesPolicy<\/code>: 任务实例处理策略<\/li>
DisallowStartIfOnBatteries<\/code>: 电池供电时禁止运行<\/li>
AllowHardTerminate<\/code>: 是否允许强制终止<\/li>
Hidden<\/code>: 是否隐藏任务<\/li>
ExecutionTimeLimit<\/code>: 最大运行时间<\/li>
<\/ul>
<\/li>

实现流程<\/strong>：<\/p>

获取当前用户SID<\/li>
拼接符合规范的XML<\/li>
调用SchRpcRegisterTask注册任务<\/li>
<\/ul>
<\/li>
<\/ol>
底层RPC调用分析<\/h2>


直接调用NdrClientCall3<\/strong>：<\/p>

可以绕过SchRpcRegisterTask直接调用底层RPC<\/li>
第二个参数为opcode，1对应SchRpcRegisterTask<\/li>
<\/ul>
<\/li>

参数分析<\/strong>：<\/p>

第一个参数来自IDL编译生成的stub<\/li>
后续参数按顺序传入<\/li>
<\/ul>
<\/li>
<\/ol>
命名管道方式<\/h2>


现状<\/strong>：<\/p>

目前尚未完全研究成功<\/li>
网上文章多基于MS_SCMR服务<\/li>
尝试修改MS_SCMR封包函数但未成功<\/li>
<\/ul>
<\/li>

遇到的问题<\/strong>：<\/p>

pRpcResponseBaseHeader->bPacketType返回3(fault)<\/li>
可能需要完成AUTH3认证<\/li>
<\/ul>
<\/li>
<\/ol>
优化与隐藏<\/h2>


痕迹清理<\/strong>：<\/p>

计划任务创建会在%SystemRoot%\System32\Tasks<\/code>留下XML文件<\/li>
该文件存在与否不影响任务执行<\/li>
<\/ul>
<\/li>

隐藏技术<\/strong>：<\/p>

修改注册表对应Index的SD值<\/li>
实现任务隐藏<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
本文详细分析了通过RPC接口创建计划任务的两种主要方式，包括技术实现细节、遇到的问题和可能的优化方向。ITaskSchedulerService方式在现代Windows系统中更为可靠，而ATSvc方式在较新系统中已基本失效。直接调用底层RPC和命名管道方式仍有进一步研究的空间。<\/p>

基于RPC的计划任务维权分析学习<\/h1>

前言<\/h2> 本文主要分析通过RPC接口创建计划任务的技术实现，包括ATSvc和ITaskSchedulerService两种方式，以及相关的技术细节和问题。<\/p>

ATSvc方式<\/h2>

基本概念<\/h3> ATSvc是Windows早期版本中用于创建计划任务的RPC服务，在高版本Windows中需要设置EnableAt<\/code>为1才可用。<\/p>

ITaskSchedulerService方式<\/h2>

基本概念<\/h3> ITaskSchedulerService是更现代的计划任务RPC服务接口。<\/p>

前言<\/h2>
本文主要分析通过RPC接口创建计划任务的技术实现，包括ATSvc和ITaskSchedulerService两种方式，以及相关的技术细节和问题。<\/p>

基本概念<\/h3>
ATSvc是Windows早期版本中用于创建计划任务的RPC服务，在高版本Windows中需要设置`EnableAt<\/code>为1才可用。<\/p>`

基本概念<\/h3>
ITaskSchedulerService是更现代的计划任务RPC服务接口。<\/p>