˄˅

Struktura skryptu serwisowego

Pierwszy wiersz nagłówka skryptu zawiera informację o wersji mechanizmu (ev), wersji interfejsu graficznego (gv) i wersji dziennika (lv). Na podstawie tych danych można śledzić zmiany w pliku xml używanym do wygenerowania skryptu, aby zapobiec ewentualnym niespójnościom podczas wykonywania. Tej części skryptu nie należy zmieniać.

Pozostała część pliku jest podzielona na sekcje zawierające pozycje dostępne do edycji. Modyfikowanie pliku polega na wskazaniu elementów, które mają być przetwarzane przez skrypt. Wskazanie wybranego elementu do przetwarzania wymaga zastąpienia poprzedzającego go znaku „-” znakiem „+”. Kolejne sekcje skryptu są oddzielane pustymi wierszami. Każda sekcja ma numer i tytuł.

01) Running processes (Uruchomione procesy)

Ta sekcja zawiera listę wszystkich procesów uruchomionych w systemie. Każdy proces jest identyfikowany przez ścieżkę UNC, po której następuje odpowiadający mu skrót CRC16 ujęty w znaki gwiazdki (*).

Przykład

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

W tym przykładzie proces module32.exe został wybrany (zaznaczony znakiem „+”), co spowoduje jego zakończenie po wykonaniu skryptu.

02) Loaded modules (Załadowane moduły)

Ta sekcja przedstawia listę aktualnie używanych modułów systemowych.

Przykład

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

W tym przykładzie moduł khbekhb.dll został zaznaczony znakiem „+”. Podczas wykonywania skryptu procesy korzystające z tego modułu zostaną wykryte i zakończone.

03) TCP connections (Połączenia TCP)

Ta sekcja zawiera informacje o istniejących połączeniach TCP.

Przykład

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Uruchomiony skrypt będzie lokalizować właścicieli gniazd odpowiadających zaznaczonym połączeniom TCP i zamykać takie gniazda, zwalniając tym samym zasoby systemowe.

04) UDP endpoints (Punkty końcowe UDP)

Ta sekcja zawiera informacje o istniejących punktach końcowych UDP.

Przykład

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Uruchomiony skrypt będzie lokalizować właścicieli gniazd odpowiadających zaznaczonym punktom końcowym UDP i zamykać takie gniazda.

05) DNS server entries (Wpisy serwera DNS)

Ta sekcja zawiera informacje o aktualnej konfiguracji serwera DNS.

Przykład

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Po uruchomieniu skryptu zaznaczone wpisy serwera DNS zostaną usunięte.

06) Important registry entries (Ważne wpisy rejestru)

Ta sekcja zawiera informacje o ważnych wpisach rejestru.

Przykład

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Po uruchomieniu skryptu zaznaczone wpisy zostaną usunięte, nadpisane bajtami zerowymi lub przywrócone do wartości domyślnych. Działanie podejmowane dla danego wpisu rejestru zależy od jego kategorii i odpowiadającej mu wartości klucza.

07) Services (Usługi)

Ta sekcja zawiera listę usług zarejestrowanych w systemie.

Przykład

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Po wykonaniu skryptu zaznaczone usługi oraz usługi od nich zależne zostaną zatrzymane i odinstalowane.

08) Drivers (Sterowniki)

Ta sekcja zawiera listę zainstalowanych sterowników.

Przykład

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Po wykonaniu skryptu, wybrane sterowniki zostaną zatrzymane. Niektóre sterowniki nie pozwolą się zatrzymać.

09) Critical files (Pliki krytyczne)

Ta sekcja zawiera informacje o plikach krytycznych dla prawidłowego funkcjonowania systemu operacyjnego.

Przykład

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Zaznaczone elementy zostaną usunięte albo zostaną im przywrócone wartości domyślne.

10) Scheduled tasks (Zaplanowane zadania)

Ta sekcja zawiera informacje o zaplanowanych zadaniach.

Przykład

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅