˄˅

Paslaugos scenarijaus struktūra

Pirmoje scenarijaus antraštės eilutėje galite rasti informacijos apie modulio versiją (ev), GUI versiją (gv) ir žurnalo versiją (lv). Šiuos duomenis galite naudoti sekdami galimus pakeitimus .xml faile, kurį generuoja scenarijus, ir neleisti, jog atsirastų kokių nors neatitikimų vykdant. Šios scenarijaus dalies negalima keisti.

Likusi failo dalis yra padalyta į skyrius, kuriuose galima redaguoti elementus (pažymėti tuos, kuriuos apdoros scenarijus). Elementus, kuriuos reikia apdoroti, pažymėkite pakeisdami simbolį „–“ priešais elementą simboliu „+“. Skyriai scenarijuje atskirti vienas nuo kito tuščia eilute. Kiekvienas skyrius turi numerį ir pavadinimą.

01) Vykdomi procesai

Šiame skyriuje yra visų sistemoje vykdomų procesų sąrašas. Kiekvienas procesas identifikuojamas jo UNC keliu ir toliau einančiu jo CRC16 maišiuoju kodu žvaigždutėmis (*).

Pavyzdys

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Šiame pavyzdyje buvo pasirinktas (pažymėtas simboliu „+“) procesas module32.exe. Šis procesas vykdant scenarijų bus sustabdytas.

02) Įkelti moduliai

Šiame skyriuje pateikti šiuo metu naudojami sistemos moduliai.

Pavyzdys

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Šiame pavyzdyje modulis khbekhb.dll buvo pažymėtas „+“. Vykdant scenarijų bus atpažinti ir sustabdyti procesai, naudojantys šį konkretų modulį.

03) TCP ryšiai

Šiame skyriuje pateikiama informacija apie esamus TCP ryšius.

Pavyzdys

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Vykdant scenarijų jis ras jungties savininką pažymėtuose TCP ryšiuose ir sustabdys jungtį, atlaisvindamas sistemos išteklius.

04) UDP galiniai taškai

Šiame skyriuje pateikiama informacija apie esamus UDP galinius taškus.

Pavyzdys

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Vykdant scenarijų jis izoliuos jungties savininką pažymėtuose UDP galiniuose taškuose ir sustabdys jungtį, atlaisvindamas sistemos išteklius.

05) DNS serverio įrašai

Šiame skyriuje pateikiama informacija apie esamą DNS serverio konfigūraciją.

Pavyzdys

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Vykdant scenarijų pažymėti DNS serverio įrašai bus pašalinti.

06) Svarbūs registrų įrašai

Šiame skyriuje pateikiama informacija apie svarbius registrų įrašus.

Pavyzdys

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Vykdant scenarijų pažymėti įrašai bus panaikinti, sumažinti iki 0 baitų reikšmės arba atkurti į numatytąsias reikšmes. Konkrečiam įrašui veiksmas bus taikomas atsižvelgiant į įrašo kategoriją ir atitinkamo registro rakto reikšmę.

07) Paslaugos

Šiame skyriuje pateikiamos sistemoje registruotos paslaugos.

Pavyzdys

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Vykdant scenarijų pažymėtos ir nuo jų priklausomos paslaugos bus sustabdytos ir išdiegtos.

08) Tvarkyklės

Šiame skyriuje pateikiamas įdiegtų tvarkyklių sąrašas.

Pavyzdys

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Kai įvykdysite scenarijų, pasirinktos tvarkyklės bus sustabdytos. Atsiminkite, kad kai kurios tvarkyklės gali pačios neleisti, kad jas sustabdytų.

09) Kritiniai failai

Šiame skyriuje pateikiama informacijos apie failus, kurie yra itin svarbūs tinkamam operacinės sistemos darbui.

Pavyzdys

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Pasirinkti elementai bus panaikinti arba bus atkurtos jų originalios reikšmės.

10) Planuoklės užduotys

Šiame skyriuje pateikiama informacija apie planuoklės užduotis.

Pavyzdys

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅