˄˅

מבנה קובץ ה-Script של השירות

בשורה הראשונה של כותרת קובץ ה-Script תוכל למצוא מידע על גרסת המנוע (ev), גרסת ממשק המשתמש הגרפי (gv) וגרסת היומן (lv). תוכל להשתמש בנתונים אלה כדי לעקוב אחר שינויים אפשריים בקובץ ה-‎.xml שיוצר את קובץ ה-Script ולמנוע חוסר עקביות במהלך ההפעלה. אין לשנות חלק זה של קובץ ה-Script.

שאר הקובץ מחולק למקטעים שבהם ניתן לערוך פריטים (ציין את אלה שיעובדו על-ידי קובץ ה-Script). אתה מסמן פריטים לעיבוד על-ידי החלפת התו "-" שלפני פריט מסוים בתו "+". מקטעים שונים בקובץ ה-Script מופרדים אלה מאלה באמצעות קו ריק. לכל מקטע יש מספר וכותרת.

01) תהליכים פועלים

מקטע זה כולל רשימה של כל התהליכים הפועלים במערכת. כל תהליך מזוהה באמצעות נתיב ה-UNC שלו, שאחריו קוד ה-hash שלו - CRC16 בכוכביות (*).

דוגמה

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

בדוגמה זו תהליך מסוים, module32.exe, נבחר (סומן בתו "+"); התהליך יסתיים בעת הפעלת קובץ ה-Script.

02) מודולים שנטענו

מקטע זה מפרט את מודולי המערכת שנמצאים בשימוש כעת.

דוגמה

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

בדוגמה זו המודול khbekhb.dll סומן בתו "+". כאשר קובץ ה-Script יופעל, הוא יזהה את התהליכים המשתמשים במודול ספציפי זה ויעצור אותם.

03) חיבורי TCP

מקטע זה כולל מידע על חיבורי TCP קיימים.

דוגמה

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

כאשר קובץ ה-Script יופעל, הוא יאתר את בעלי השקע בחיבורי ה-TCP המסומנים ויעצור את השקע, ובאופן זה יפנה משאבי מערכת.

04) נקודות קצה של UDP

מקטע זה כולל מידע על נקודות קצה קיימות של UDP.

דוגמה

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

כאשר קובץ ה-Script יופעל, הוא יבודד את בעלי השקע בנקודות הקצה המסומנות של UDP ויעצור את השקע.

05) הזנות שרת DNS

מקטע זה כולל מידע על תצורת שרת ה-DNS הנוכחית.

דוגמה

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

הזנות שרת ה-DNS הנוכחיות יוסרו כשתפעיל את קובץ ה-Script.

06) הזנות רישום חשובות

מקטע זה כולל מידע על הזנות רישום חשובות.

דוגמה

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

ההזנות המסומנות יימחקו, ובכך יפחתו לערכי 0 בתים או יאופסו לערכי ברירת המחדל שלהם כשקובץ ה-Script יופעל. הפעולה שתוחל על הזנה מסוימת תלויה בקטגוריית ההזנה ובערך המפתח ברישום הספציפי.

07) שירותים

מקטע זה מפרט את השירותים הרשומים במערכת.

דוגמה

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

בעת הפעלת קובץ ה-Script, השירותים המסומנים והשירותים התלויים בהם יופסקו והתקנתם תוסר.

08) מנהלי התקן

מקטע זה מפרט את מנהלי ההתקן המותקנים.

דוגמה

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

כשאתה מפעיל את קובץ ה-Script, פעולת מנהלי ההתקן הנבחרים תיפסק. שים לב שמנהלי התקן מסוימים אינם מאפשרים עצירה.

09) קבצים קריטיים

מקטע זה כולל מידע על קבצים שקריטיים לפעולה תקינה של מערכת ההפעלה.

דוגמה

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

הפריטים שנבחרו יימחקו או יאופסו לערכיהם המקוריים.

10) משימות מתוזמנות

מקטע זה כולל מידע על משימות מתוזמנות.

דוגמה

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅