˄˅

Struktur for tjenestescriptet

I første linje i scriptets overskrift kan du finde oplysninger om programversionen (ev), GUI-versionen (gv) og logfilversionen (lv). Du kan bruge disse data til at spore mulige ændringer i .xml-filen, der genererer scriptet, og forhindre eventuelle inkonsekvenser under udførelsen. Denne del af scriptet bør ikke ændres.

Resten af filen er opdelt i afsnit, hvor elementer kan redigeres (angiver dem, som bliver behandlet af scriptet). Du markerer elementer til behandling ved at erstatte tegnet "-" foran et element med tegnet "+". Afsnit i scriptet adskilles fra hinanden af en tom linje. Hvert afsnit har et nummer og en titel.

01) Kørende processer

Dette afsnit indeholder en liste over alle processer, der kører på systemet. Hver proces identificeres af dens UNC-stik og efterfølgende dens CRC16-hash-kode i asterisker (*).

Eksempel

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

I dette eksempel blev en proces, module32.exe, valgt (markeret af tegnet "+"). Processen bliver afsluttet ved udførelse af scriptet.

02) Indlæste moduler

Dette afsnit lister aktuelt brugte systemmoduler.

Eksempel

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

I dette eksempel blev modulet, khbekhb.dll, markeret af et "+". Når scriptet kører, vil det anerkende de processer, der bruger det bestemte modul, og så afslutte dem.

03) TCP-forbindelser

Dette afsnit indeholder oplysninger om eksisterende TCP-forbindelser.

Eksempel

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Når scriptet kører, vil det finde ejeren af den 'socket' i de markerede TCP-forbindelser og standse 'socket'en, hvorved systemressourcer frigøres.

04) UDP-slutpunkter

Dette afsnit indeholder oplysninger om eksisterende UDP-slutpunkter.

Eksempel

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Når scriptet kører, vil det isolere ejeren af den 'socket' i de markerede UDP-slutpunkter og standse 'socket'en.

05) DNS-serverangivelser

Dette afsnit indeholder oplysninger om den aktuelle DNS-serverkonfiguration.

Eksempel

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Markerede DNS-serverangivelser vil blive fjernet, når du kører scriptet.

06) Vigtige registreringsdatabaseangivelser

Dette afsnit indeholder vigtige oplysninger om registreringsdatabaseindtastninger.

Eksempel

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

De markerede angivelser bliver slettet, reduceret til 0-byte-værdier eller nulstillet til deres standardværdier ved script-udførelse. Den handling, der anvendes på en bestemt angivelse, afhænger af angivelseskategorien og nøgleværdien i den bestemte registreringsdatabase.

07) Tjenester

Dette afsnit viser tjenester, der er registreret i systemet.

Eksempel

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

De markerede tjenester og deres afhængige tjenester bliver standset og afinstalleret, når scriptet udføres.

08) Drivere

Dette afsnit viser installerede drivere.

Eksempel

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Når du udfører scriptet, bliver de valgte drivere standset. Bemærk, at nogle drivere ikke tillader dem selv i at blive standset.

09) Kritiske filer

Dette afsnit indeholder oplysninger om filer, der er kritiske for korrekt funktion for operativsystemet.

Eksempel

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

De valgte elementer vil enten blive slettet eller nulstillet til deres oprindelige værdier.

10) Planlagte opgaver

Dette afsnit indeholder oplysninger om planlagte opgaver.

Eksempel

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅