˄˅

Structura scriptului de serviciu

În prima linie a antetului scriptului puteţi găsi informaţii despre versiunea motorului (ev), versiunea GUI (gv) şi versiunea logului (lv). Puteţi utiliza aceste date pentru a urmări posibilele modificări din fişierul .xml care generează scriptul şi previn toate inconsecvenţele în timpul execuţiei. Această parte a scriptului nu trebuie modificată.

Restul fişierului este împărţit în secţiuni în care elementele pot fi editate (adică cele care vor fi procesate de script). Marcaţi elementele care vor fi procesate înlocuind caracterul „-” din faţa lor cu caracterul „+”. Secţiunile din script sunt separate de linii goale. Fiecare secţiune are un număr şi un titlu.

01) Procese în execuţie

Această secţiune conţine o listă a tuturor proceselor care se execută în sistem. Fiecare proces este identificat prin calea sa UNC, urmată de codul hash CRC16 în asteriscuri (*).

Exemplu

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

În acest exemplu, a fost selectat un proces, module32.exe (marcat cu un caracter „+”); în urma executării scriptului, procesul va fi oprit.

02) Module încărcate

În această secţiune sunt listate modulele utilizate curent de sistem.

Exemplu

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

În acest exemplu, modulul khbekhb.dll a fost marcat cu un caracter „+”. Atunci când este executat, scriptul recunoaşte procesele care utilizează modulul respectiv şi le opreşte.

03) Conexiuni TCP

Această secţiune conţine informaţii despre conexiunile TCP existente.

Exemplu

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Atunci când se execută, scriptul localizează proprietarul socket-ului din conexiunile TCP marcate şi opreşte socket-ul pentru a elibera resurse.

04) Terminale UDP

Această secţiune conţine informaţii despre terminalele UDP existente.

Exemplu

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Atunci când se execută, scriptul izolează proprietarul socket-ului la terminalele UDP marcate şi opreşte socket-ul.

05) Intrări de servere DNS

Această secţiune conţine informaţii despre configuraţia curentă de servere DNS.

Exemplu

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

La executarea scriptului, intrările de servere DNS marcate sun eliminate.

06) Înregistrări importante în registry

Această secţiune conţine informaţii despre înregistrări importante în registry.

Exemplu

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

La executarea scriptului, intrările marcate sunt şterse, reduse la valori de 0 octeţi sau resetate la valorile lor implicite. Acţiunea de aplicat unei anumite intrări depinde de categoria intrării şi de valoarea cheii din registry-ul specific.

07) Servicii

În această secţiune sunt listate serviciile înregistrate în sistem.

Exemplu

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

La executarea scriptului, serviciile marcate şi serviciile dependente corespunzătoare vor fi oprite şi dezinstalate.

08) Drivere

În această secţiune sunt listate driverele instalate.

Exemplu

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Driverele selectate se vor opri când executaţi scriptul. Reţineţi că unele drivere nu vor permite să fie oprite.

09) Fişiere critice

Această secţiune conţine informaţii despre fişierele critice pentru funcţionarea corectă a sistemului de operare.

Exemplu

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Elementele selectate vor fi şterse sau resetate la valorile lor originale.

10) Sarcini planificate

Această secţiune conţine informaţii despre sarcinile planificate.

Exemplu

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅