Palvelukomentosarjan rakenne

Komentosarjan otsikon ensimmäisellä rivillä on tietoa ohjelman versiosta (ev), graafisen käyttöjärjestelmän versiosta (gv) ja lokin versiosta (lv). Voit käyttää näitä tietoja, jos haluat seurata mahdollisia muutoksia komentosarjan luovassa .xml-tiedostossa ja estää suorittamisen aikana tapahtuvat epäyhdenmukaisuudet. Tätä osaa komentosarjasta ei tulisi muuttaa.

Lopputiedosto on jaettu osioihin, joissa kohteita voi muokata (merkitä ne, jotka komentosarja käsittelee). Voit merkitä käsiteltävät kohteet korvaamalla kohteen edessä oleva "–"-merkki "+"-merkillä. Komentosarjan osiot on erotettu toisistaan tyhjällä rivillä. Kullakin osiolla on numero ja otsikko.

01) Käynnissä olevat prosessit

Tässä osiossa on luettelo kaikista järjestelmässä käynnissä olevista prosesseista. Kukin prosessi tunnistetaan sen UNC-polun ja sen tähtimerkein (*) kirjoitetun CRC16-hajautuskoodin perusteella.

example

Esimerkki

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Tässä esimerkissä valitaan prosessi, module32.exe (merkitty merkillä "+"). Prosessi päättyy komentosarjan suorittamisen yhteydessä.

02) Ladatut moduulit

Tässä osiossa on luettelo käytössä olevista järjestelmämoduuleista.

example

Esimerkki

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Tässä esimerkissä moduuli khbekhb.dll merkittiin "+"-merkillä. Kun komentosarja suoritetaan, se tunnistaa prosessit, jotka käyttävät tätä moduulia, ja lopettaa ne.

03) TCP-yhteydet

Tässä osiossa on tietoa olemassa olevista TCP-yhteyksistä.

example

Esimerkki

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Kun komentosarja suoritetaan, se etsii vastakkeen omistajan merkityissä TCP-yhteyksissä ja lopettaa vastakkeen, mikä vapauttaa järjestelmäresursseja.

04) UDP-päätepisteet

Tässä osiossa on tietoa olemassa olevista UDP-päätepisteistä.

example

Esimerkki

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Kun komentosarja suoritetaan, se eristää vastakkeen omistajan merkityissä UDP-päätepisteissä ja lopettaa vastakkeen.

05) DNS-palvelinmerkinnät

Tässä osiossa on tietoa käytössä olevista DNS-palvelinmäärityksistä.

example

Esimerkki

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Merkityt DNS-palvelinmerkinnät poistetaan, kun komentosarja suoritetaan.

06) Tärkeät rekisterimerkinnät

Tässä osiossa on tietoja tärkeistä rekisterimerkinnöistä.

example

Esimerkki

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Merkityt merkinnät poistetaan, pienennetään 0-bittisiksi arvoiksi tai palautetaan oletusarvoisiksi, kun komentosarja suoritetaan. Tiettyyn merkintään kohdistuva toimi riippuu merkintäluokasta ja rekisterissä olevasta avainarvosta.

07) Palvelut

Tässä osiossa on luettelo järjestelmän rekisteröidyistä palveluista.

example

Esimerkki

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Merkityt palvelut ja niille alisteiset palvelut lopetetaan ja niiden asennus poistetaan, kun komentosarja suoritetaan.

08) Ohjaimet

Tässä osiossa on luettelo asennetuista ohjaimista.

example

Esimerkki

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Kun suoritat komentosarjan, valitut ohjaimet pysäytetään. Huomaa, että jotkin ohjaimet eivät salli itsensä pysäyttämistä.

09) Tärkeät tiedostot

Tässä osiossa on tietoa järjestelmän oikeanlaisen toiminnan kannalta tärkeistä tiedostoista.

example

Esimerkki

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Valitut kohteet joko poistetaan tai palautetaan alkuperäisiin arvoihinsa.

10) Ajoitetut tehtävät

Tässä osiossa on tietoa ajoitetuista tehtävistä.

example

Esimerkki

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]