˄˅

Δομή της δέσμης ενεργειών υπηρεσίας

Στην πρώτη γραμμή της κεφαλίδας της δέσμης ενεργειών, μπορείτε να βρείτε πληροφορίες για την έκδοση του Μηχανισμού (ev), την έκδοση GUI (gv) και την έκδοση του Αρχείου καταγραφής (lv). Μπορείτε να χρησιμοποιήσετε αυτά τα δεδομένα για να παρακολουθείτε τυχόν αλλαγές στο αρχείο .xml που δημιουργεί τη δέσμη ενεργειών και να εμποδίσετε τυχόν ασυνέπειες κατά την εκτέλεση. Αυτό το μέρος της δέσμης ενεργειών δεν θα πρέπει να μετατραπεί.

Το υπόλοιπο του αρχείου χωρίζεται σε ενότητες στις οποίες μπορείτε να επεξεργαστείτε τα στοιχεία (να δηλώσετε εκείνα που θα υποβληθούν σε επεξεργασία από τη δέσμη ενεργειών). Επισημάνετε τα στοιχεία για επεξεργασία αντικαθιστώντας τον χαρακτήρα «-» που βρίσκεται μπροστά από ένα στοιχείο με τον χαρακτήρα «+». Οι ενότητες στη δέσμη ενεργειών διαχωρίζονται μεταξύ τους με μια κενή γραμμή. Κάθε ενότητα έχει έναν αριθμό και τίτλο.

01) Διεργασίες σε εκτέλεση

Η ενότητα αυτή περιέχει μια λίστα με όλες τις διεργασίες που εκτελούνται στο σύστημα. Κάθε διεργασία αναγνωρίζεται από τη διαδρομή UNC και, συνεπώς, από τον κωδικό κατακερματισμού CRC16 με αστερίσκο (*).

Παράδειγμα

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Σε αυτό το παράδειγμα, επιλέχτηκε μια διεργασία, η module32.exe, (επισημάνθηκε με χαρακτήρα «+»)· η διεργασία θα ολοκληρωθεί όταν εκτελεστεί η δέσμη ενεργειών.

02) Φόρτωση μονάδων

Σε αυτή την ενότητα αναγράφονται οι τρέχουσες μονάδες που χρησιμοποιούνται στο σύστημα.

Παράδειγμα

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Σε αυτό το παράδειγμα, η μονάδα khbekhb.dll επισημάνθηκε με το σύμβολο «+». Όταν εκτελεστεί η δέσμη ενεργειών, θα αναγνωρίζει τις διεργασίες χρησιμοποιώντας τη συγκεκριμένη μονάδα και θα τις τερματίζει.

03) Συνδέσεις TCP

Η ενότητα αυτή περιέχει πληροφορίες για τις υπάρχουσες συνδέσεις TCP.

Παράδειγμα

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Όταν εκτελεστεί η δέσμη ενεργειών, θα εντοπίζει τον κάτοχο της υποδοχής στις επισημασμένες συνδέσεις TCP και θα διακόπτει την υποδοχή, ελευθερώνοντας πόρους του συστήματος.

04) Απολήξεις UDP

Η ενότητα αυτή περιέχει πληροφορίες για τις υπάρχουσες απολήξεις UDP.

Παράδειγμα

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Όταν εκτελεστεί η δέσμη ενεργειών, θα απομονώνει τον κάτοχο της υποδοχής στις επισημασμένες απολήξεις UDP και θα διακόπτει την υποδοχή.

05) Καταχωρίσεις διακομιστή DNS

Αυτή η ενότητα περιέχει πληροφορίες για την τρέχουσα διαμόρφωση διακομιστή DNS.

Παράδειγμα

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Οι επισημασμένες καταχωρίσεις διακομιστή DNS θα αφαιρεθούν όταν εκτελέσετε τη δέσμη ενεργειών.

06) Σημαντικές καταχωρίσεις μητρώου

Η ενότητα αυτή περιέχει πληροφορίες για τις σημαντικές καταχωρίσεις μητρώου.

Παράδειγμα

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Οι επισημασμένες καταχωρίσεις θα διαγραφούν, έχοντας αναχθεί σε τιμές 0-byte ή μετά από επαναφορά στις προεπιλεγμένες τιμές μετά την εκτέλεση της δέσμης ενεργειών. Η ενέργεια που θα εφαρμοστεί σε μια συγκεκριμένη καταχώριση εξαρτάται από την κατηγορία της καταχώρισης και την τιμή κλειδιού στο συγκεκριμένο μητρώο.

07) Υπηρεσίες

Σε αυτή την ενότητα αναγράφονται οι υπηρεσίες που είναι εγγεγραμμένες στο σύστημα.

Παράδειγμα

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Οι υπηρεσίες που επισημαίνονται και οι εξαρτημένες υπηρεσίες τους θα διακοπούν και θα απεγκατασταθούν όταν εκτελεστεί η δέσμη ενεργειών.

08) Προγράμματα οδήγησης

Σε αυτή την ενότητα αναγράφονται τα εγκατεστημένα προγράμματα οδήγησης.

Παράδειγμα

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Όταν εκτελέσετε τη δέσμη ενεργειών, θα διακοπούν τα επιλεγμένα προγράμματα οδήγησης. Σημειώνεται ότι ορισμένα προγράμματα οδήγησης δεν επιτρέπουν τη διακοπή τους.

09) Κρίσιμα αρχεία

Αυτή η ενότητα περιέχει πληροφορίες για αρχεία που είναι κρίσιμα για τη σωστή λειτουργία του λειτουργικού συστήματος.

Παράδειγμα

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Τα επιλεγμένα στοιχεία θα διαγραφούν ή θα υποβληθούν σε επαναφορά στις αρχικές τιμές τους.

10) Προγραμματισμένες εργασίες

Αυτή η ενότητα περιέχει πληροφορίες για τις προγραμματισμένες εργασίες.

Παράδειγμα

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅