Struktura servisního skriptu

V prvním řádku hlavičky skriptu se nacházejí informace o verzi enginu (ev), verzi grafického rozhraní (gv) a verzi protokolu (lv). Tato data můžete použít při hledání možných změn v *.xml souboru, které generuje skript a zamezit veškerým nesrovnalostem během provádění skriptu. Tato část skriptu by neměla být modifikována.

Zbytek souboru je rozdělen do sekcí, ve kterých můžete jednotlivé položky modifikovat (označit ty, které budou zpracovány skriptem). Položky ke zpracování označíte tak, že zaměníte znak "-" před položkou za znak "+". Jednotlivé sekce ve skriptu jsou odděleny prázdným řádkem. Každá sekce má číslo a nadpis.

01) Running processes

Tato sekce obsahuje seznam všech běžících procesů v systému. Každý proces je identifikován svou UNC cestou a následně kontrolním součtem CRC16 mezi hvězdičkami (*).

example

Příklad

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

V tomto příkladu byl vybrán proces module32.exe (označen znakem "+"); proces bude ukončen při spuštění skriptu.

02) Loaded modules

Tato sekce obsahuje seznam aktuálně použitých systémových modulů.

example

Příklad

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

V tomto příkladu byl modul khbekhb.dll označen znakem "+". Když se skript spustí, rozpozná procesy, které používají tento specifický modul a ukončí je.

03) TCP connections

Tato sekce obsahuje informace o existujících TCP spojeních.

example

Příklad

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Když se skript spustí, najde vlastníka socketu v označených TCP spojeních a zastaví tento socket, čímž uvolní systémové prostředky.

04) UDP endpoints

Tato sekce obsahuje informace o stávajících koncových bodech UDP.

example

Příklad

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Když se skript spustí, izoluje vlastníka socketu v označených koncových bodech UDP a zastaví tento socket.

05) DNS server entries

Tato sekce obsahuje informace o současné konfiguraci DNS serverů.

example

Příklad

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Při spuštění skriptu budou označené záznamy DNS serveru odstraněny.

06) Important registry entries

Tato sekce obsahuje informace o důležitých záznamech v registru Windows.

example

Příklad

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Označené hodnoty budou po spuštění skriptu vymazány, redukovány na 0 bajtové hodnoty, nebo vynulovány na základních hodnoty. Akce, která se provede po spuštění skriptu, závisí na kategorii dané položky a hodnotě klíče v konkrétní větvi registru.

07) Services

Tato sekce obsahuje seznam služeb zaregistrovaných v systému.

example

Příklad

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Označené služby a služby na nich závislé budou po spuštění skriptu zastaveny a odinstalovány.

08) Drivers

Tato sekce obsahuje seznam nainstalovaných ovladačů.

example

Příklad

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Po spuštění skriptu budou vybrané ovladače zastaveny. Upozorňujeme, že se některé ovladače nepovolí zastavení jich samotných.

09) Critical files

Tato sekce obsahuje informace o souborech, které jsou kritické pro správné fungování operačního systému.

example

Příklad

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Vybrané položky budou odstraněny nebo vynulovány na své původní hodnoty.

10) Scheduled tasks

Tato sekce obsahuje informace o důležitých záznamech v registru Windows.

example

Příklad

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]