서비스 스크립트 구조

스크립트 헤더의 첫 번째 줄에서 엔진 버전(ev), GUI 버전(gv) 및 로그 버전(lv)에 대한 정보를 확인할 수 있습니다. 이 데이터를 사용하여 스크립트를 생성하는 .xml 파일의 가능한 변경 내용을 추적하고 실행 중 불일치를 방지할 수 있습니다. 이 스크립트 부분을 변경해서는 안 됩니다.

파일의 나머지 부분은 항목을 편집할 수 있는 섹션으로 구분되어 있습니다(스크립트에서 처리하는 부분을 나타냄). 항목 앞의 "-" 문자를 "+" 문자로 바꿔 처리할 항목을 표시합니다. 스크립트의 섹션은 서로 빈 줄로 구분되어 있습니다. 각 섹션에는 번호와 제목이 있습니다.

01) 실행 중인 프로세스

이 섹션에는 시스템에서 실행 중인 모든 프로세스 목록이 포함되어 있습니다. 각 프로세스는 UNC 경로 및 이후의 별표(*)로 된 CRC16 해시 코드로 식별됩니다.

example

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

이 예에서 프로세스 module32.exe가 선택("+" 문자로 표시됨)되어 있으므로 스크립트 실행 시 프로세스가 종료됩니다.

02) 로드된 모듈

이 섹션에는 현재 사용되는 시스템 모듈이 나열됩니다.

example

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

이 예에서 모듈 khbekhb.dll은 "+"로 표시되어 있습니다. 스크립트 실행 시 스크립트에서 프로세스가 해당 특정 모듈을 사용 중임을 인식하고 해당 프로세스를 종료합니다.

03) TCP 연결

이 섹션에는 기존 TCP 연결에 대한 정보가 포함되어 있습니다.

example

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

스크립트 실행 시 스크립트에서 표시된 TCP 연결에서 소켓의 소유자를 찾아 해당 소켓을 중지하여 시스템 리소스를 해제합니다.

04) UDP 끝점

이 섹션에는 기존 UDP 끝점에 대한 정보가 포함되어 있습니다.

example

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

스크립트 실행 시 스크립트에서 표시된 UDP 끝점에서 소켓의 소유자를 분리하고 해당 소켓을 중지합니다.

05) DNS 서버 항목

이 섹션에는 현재 DNS 서버 구성에 대한 정보가 포함되어 있습니다.

example

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

스크립트 실행 시 표시된 DNS 서버 항목이 제거됩니다.

06) 중요한 레지스트리 항목

이 섹션에는 중요한 레지스트리 항목에 대한 정보가 포함되어 있습니다.

example

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

스크립트 실행 시 표시된 항목이 삭제되고 0바이트 값으로 줄어들거나 기본값으로 다시 설정됩니다. 특정 레지스트리의 항목 범주 및 키 값에 따라 특정 항목에 적용되는 동작이 달라집니다.

07) 서비스

이 섹션에는 시스템 내에 등록된 서비스가 나열됩니다.

example

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

스크립트 실행 시 표시된 서비스 및 해당 종속 서비스가 중지 및 제거됩니다.

08) 드라이버

이 섹션에는 설치된 드라이버가 나열됩니다.

example

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

스크립트 실행 시 선택된 드라이버가 중지됩니다. 일부 드라이버는 중지되지 않을 수 있습니다.

09) 중요 파일

이 섹션에는 운영 체제가 제대로 작동하는 데 있어 중요한 파일에 대한 정보가 포함되어 있습니다.

example

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

선택한 항목이 삭제되거나 원래 값으로 다시 설정됩니다.

10) 예약된 작업

이 섹션에는 예약된 작업에 대한 정보가 포함되어 있습니다.

example

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]