˄˅

Teenuseskripti struktuur

Skripti päise esimeselt realt leiate teavet mootori versiooni (ev), GUI versiooni (gv) ja logi versiooni (lv) kohta. Võite kasutada neid andmeid võimalike muutuste jälitamiseks .xml-failis, mis koostab skripti ja ennetab täitmisel vasturääkivusi. Seda osa skriptist ei tohiks muuta.

Ülejäänud osa failist on jagatud jaotisteks, kus saab üksusi muuta (tähistage need, mida skript töötleb). Märkige üksused töötlemiseks märgiga „-” üksuse ees, millel on märk „+”. Skripti jaotised on eraldatud üksteisest tühja reaga. Igal jaotisel on number ja pealkiri.

01) Töötavad protsessid

See jaotis sisaldab loendit kõikidest süsteemis töötavatest protsessidest. Iga protsessi tuvastab UNC-tee ja hiljem CRC16 numbriosundi kood, millel on tärnid (*).

Näide

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Selles näites valiti protsess, module32.exe (märgitud märgiga „+”); protsess lõppeb skripti täitmisel.

02) Laaditud moodulid

See jaotis loendab praegu kasutatavad süsteemimoodulid.

Näide

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Selles näites oli moodulil khbekhb.dll märge „+”. Kui skript käivitub, tuvastab see protsessid, mis seda konkreetset moodulit kasutavad, ja lõpetab need.

03) TCP-ühendused

See jaotis sisaldab teavet olemasolevate TCP-ühenduste kohta.

Näide

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Kui skript käivitub, tuvastab see TCP-ühendusteks märgitud sokli omaniku asukoha ja lõpetab sokli, vabastades süsteemiressursse.

04) UDP-sidepidajad

See jaotis sisaldab teavet olemasolevate UDP-sidepidajate kohta.

Näide

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Kui skript käivitub, tuvastab see UDP-sidepidajateks märgitud sokli omaniku asukoha ja lõpetab sokli.

05) DNS-serveri kirjed

See jaotis sisaldab teavet olemasoleva DNS-serveri konfiguratsiooni kohta.

Näide

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Märgitud DNS-serveri kirjed eemaldatakse, kui käivitate skripti.

06) Olulised registrikirjed

Käesolev jaotis sisaldab teavet oluliste registrikirjete kohta.

Näide

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Märgitud kirjed kustutatakse, vähendatakse 0-baidisteks väärtusteks või lähtestatakse skripti täitmisel vaikeväärtustesse. Konkreetse kirje puhul rakendatav toiming oleneb kirje kategooriast ja põhiväärtusest konkreetses registris.

07) Teenused

See jaotis loendab süsteemis registreeritud teenused.

Näide

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Märgitud teenused ja neist sõltuvad teenused lõpetatakse ning desinstallitakse skripti täitmisel.

08) Draiverid

See jaotis loendab installitud draiverid.

Näide

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Kui täidate skripti, seisatakse valitud draiverid. Pidage meeles, et mõni draiver ei lase end seisata.

09) Kriitilised failid

See jaotis sisaldab teavet operatsioonisüsteemi korralikuks tööks vajalike kriitiliste failide kohta.

Näide

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Valitud üksused kas kustutatakse või lähtestatakse algsetesse väärtustesse.

10) Ajastatud toimingud

See jaotis sisaldab teavet ajastatud toimingute kohta.

Näide

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅