˄˅

Struttura dello script di servizio

Nella prima riga dell'intestazione dello script, è possibile trovare informazioni sulla versione del motore (ev), sulla versione dell'interfaccia grafica dell'utente o GUI (gv) e sulla versione del rapporto (lv). È possibile utilizzare questi dati per tenere traccia di possibili modifiche apportate al file .xml che genera lo script e impedisce il verificarsi di incongruenze durante l'esecuzione. Questa parte dello script non deve essere modificata.

Il resto del file è suddiviso in sezioni in cui è possibile modificare le voci (indicare quelle che verranno elaborate dallo script). È possibile contrassegnare le voci da elaborare sostituendo il carattere "-" davanti a una voce con il carattere "+". Le varie sezioni dello script sono separate da una riga vuota. Ciascuna sezione presenta un numero e un titolo.

01) Processi in esecuzione

Questa sezione contiene un elenco di tutti i processi in esecuzione sul sistema. Ciascun processo è identificato da un percorso UNC e, di conseguenza, dal relativo codice hash CRC16 accompagnato da asterischi (*).

Esempio

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

In questo esempio, è stato selezionato il processo module32.exe (contrassegnato dal carattere "+") che terminerà in seguito all'esecuzione dello script.

02) Moduli caricati

Questa sezione contiene un elenco dei moduli di sistema attualmente utilizzati.

Esempio

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

In questo esempio, il modulo khbekhb.dll è stato contrassegnato con un "+". Lo script in esecuzione riconoscerà e terminerà i processi utilizzando quel modulo specifico.

03) Connessioni TCP

Questa sezione contiene informazioni sulle connessioni TCP esistenti.

Esempio

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Lo script in esecuzione individuerà il proprietario del socket nelle connessioni TCP contrassegnate e interromperà il socket, liberando le risorse di sistema.

04) Endpoint UDP

Questa sezione contiene informazioni sugli endpoint UDP esistenti.

Esempio

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Lo script in esecuzione isolerà il proprietario del socket negli endpoint UDP contrassegnati e interromperà il socket.

05) Voci del server DNS

Questa sezione contiene informazioni relative alla configurazione del server DNS corrente.

Esempio

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Le voci del server DNS contrassegnate verranno rimosse al momento dell'esecuzione dello script.

06) Voci di registro importanti

Questa sezione contiene informazioni sulle voci di registro importanti.

Esempio

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Lo script in esecuzione eliminerà le voci contrassegnate, ridurrà i valori a 0 byte o ripristinerà i rispettivi valori predefiniti. L'azione da applicare a una voce specifica dipenderà dalla categoria di appartenenza della voce e dal valore della chiave nel registro specifico.

07) Servizi

Questa sezione contiene un elenco dei servizi registrati all'interno del sistema.

Esempio

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

All'esecuzione dello script, i servizi contrassegnati e i relativi servizi dipendenti verranno interrotti e disinstallati.

08) Driver

Questa sezione contiene un elenco dei driver installati.

Esempio

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Lo script in esecuzione interromperà i driver selezionati. Tenere presente che alcuni driver non potranno essere interrotti.

09) File critici

Questa sezione contiene informazioni sui file critici per il corretto funzionamento del sistema operativo.

Esempio

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Le voci selezionate verranno eliminate o reimpostate in base ai valori originali.

10) Attività pianificate

Questa sezione contiene informazioni sulle attività pianificate.

Esempio

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅