˄˅

Қызметтік сценарийдің құрылымы

Сценарийдің тақырыбындағы бірінші жолда Механизмдік нұсқа (ev), GUI нұсқасы (gv) және Журнал нұсқасы (lv) туралы ақпаратты табуыңызға болады. Бұл деректерді сценарийді жасайтын .xml файлындағы ықтимал өзгертулерді бақылау және орындау кезіндегі кез келген үйлесімсіздіктерді болдырмау үшін пайдалануға болады. Сценарийдің бұл бөлігін өзгертпеу керек.

Файлдың қалған бөлігі элементтерді өңдеуге (сценарий өңдейтіндерін көрсетуге) болатын бөлімдерге бөлінеді. Өңдеу керек элементтерді элемент алдындағы «-» таңбасын «+» таңбасына ауыстыру арқылы белгілейсіз. Сценарийдегі бөлімдер бір бірінен бос жолмен бөлінеді. Әр бөлімнің нөмірі мен тақырыбы бар.

01) Іске қосылған процестер

Бұл бөлімде жүйеде іске қосылған барлық процестердің тізімі болады. Әр процесс UNC жолымен, содан кейін, жұлдызшалар ішіндегі (*) CRC16 хэш кодымен анықталады.

Мысал

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Бұл мысалда module32.exe процесі таңдалды («+» таңбасымен белгіленген); процесс сценарий орындалғанда аяқталады.

02) Жүктелген модульдер

Бұл бөлімде қазіргі уақытта пайдаланылып жатқан жүйелік модульдер тізілген.

Мысал

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Бұл мысалда khbekhb.dll модулі «+» таңбасымен белгіленді. Сценарий іске қосылғанда, ол сол нақты модульді пайдаланып процестерді танып, оларды аяқтайды.

03) TCP қосылымдары

Бұл бөлімде бар TCP қосылымдары туралы ақпарат бар.

Мысал

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Сценарий іске қосылғанда, ол белгіленген ТСР қосылымдарындағы сокет иесін тауып, сокетті тоқтатып, жүйе ресурстарын босатады.

04) UDP соңғы нүктелері

Бұл бөлімде бар UDP соңғы нүктелері туралы ақпарат бар.

Мысал

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Сценарий іске қосылғанда, ол белгіленген UDP соңғы нүктелерінде сокет иесін оқшаулап, сокетті тоқтатады.

05) DNS серверінің жазбалары

Бұл бөлімде ағымдағы DNS серверінің конфигурациясы туралы ақпарат бар.

Мысал

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Белгіленген DNS серверінің жазбалары сценарийді іске қосқанда жойылады.

06) Маңызды тіркелім жазбалары

Бұл бөлімде маңызды тіркелім жазбалары туралы ақпарат бар.

Мысал

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Белгіленген жазбалар сценарийді іске қосқанда жойылады, 0 байт мәндеріне азайтылады немесе әдепкі мәндеріне ысырылады. Нақты жазбаға қолданылатын әрекет жазба санатына және нақты тіркелімдегі кілт мәніне байланысты.

07) Қызметтер

Бұл бөлімде жүйеде тіркелген қызметтер тізілген.

Мысал

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Сценарий орындалғанда, қызметтер белгіленеді және тәуелді қызметтер тоқтатылып, жойылады.

08) Драйверлер

Бұл бөлімде орнатылған драйверлер тізілген.

Мысал

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Сценарийді орындағанда, таңдалған драйверлер тоқтатылады. Кейбір драйверлер тоқтауға рұқсат бермейтінін ескеріңіз.

09) Маңызды файлдар

Бұл бөлімде амалдық жүйенің тиісті түрде қызмет етуі үшін маңызды файлдар туралы ақпарат бар.

Мысал

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Таңдалған элементтер жойылады немесе бастапқы мәндеріне қойылады.

10) Жоспарланған тапсырмалар

Бұл бөлімде жоспарланған тапсырмалар туралы ақпарат бар.

Мысал

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅