˄˅

โครงสร้างของสคริปต์บริการ

ในบรรทัดแรกของส่วนหัวสคริปต์ คุณจะพบข้อมูลเกี่ยวกับเวอร์ชันของกลไก (ev) เวอร์ชันของ GUI (gv) และเวอร์ชันของบันทึก (lv) คุณสามารถใช้ข้อมูลนี้เพื่อติดตามการเปลี่ยนแปลงที่อาจมีขึ้นในไฟล์ .xml ที่สร้างสคริปต์และป้องกันความไม่สอดคล้องกันระหว่างการเรียกใช้ ไม่ควรแก้ไขส่วนนี้ของสคริปต์

ส่วนที่เหลือของไฟล์จะถูกแบ่งออกเป็นหลายส่วน ซึ่งสามารถแก้ไขรายการภายในส่วนได้ (หมายความว่ารายการเหล่านั้นจะได้รับการประมวลผลโดยสคริปต์) คุณทำเครื่องหมายรายการเพื่อให้ประมวลผลด้วยการแทนอักขระ "-" ด้านหน้ารายการด้วยอักขระ "+" ส่วนในสคริปต์จะถูกแยกจากกันโดยบรรทัดว่าง แต่ละส่วนจะมีหมายเลขและชื่อ

01) กระบวนการที่ทำงานอยู่

ส่วนนี้มีรายการของกระบวนการทั้งหมดที่ทำงานอยู่ในระบบ แต่ละกระบวนการจะมีการระบุโดยพาธ UNC และรหัสแฮช CRC16 ในเครื่องหมายดอกจัน (*) ตามลำดับ

ตัวอย่าง

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

ในตัวอย่างนี้ มีการเลือกกระบวนการ ซึ่งก็คือ module32.exe (ทำเครื่องหมายโดยอักขระ "+") กระบวนการจะสิ้นสุดเมื่อเรียกใช้สคริปต์

02) โมดูลที่โหลด

ส่วนนี้จะแสดงโมดูลของระบบที่ใช้อยู่ในปัจจุบัน

ตัวอย่าง

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

ในตัวอย่างนี้ มีการทำเครื่องหมายที่โมดูล khbekhb.dll ด้วย "+" เมื่อสคริปต์ทำงาน สคริปต์จะรับรู้กระบวนการที่ใช้โมดูลเฉพาะ และจะกำหนดให้กระบวนการสิ้นสุด

03) การเชื่อมต่อ TCP

ส่วนนี้มีข้อมูลเกี่ยวกับการเชื่อมต่อ TCP ที่มีอยู่

ตัวอย่าง

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

เมื่อสคริปต์ทำงาน สคริปต์จะค้นหาเจ้าของซ็อกเก็ตในการเชื่อมต่อ TCP ที่ำทำเครื่องหมาย และหยุดซ็อกเก็ต ซึ่งจะช่วยเพิ่มทรัพยากรของระบบ

04) อุปกรณ์ปลายทาง UDP

ส่วนนี้มีข้อมูลเกี่ยวกับอุปกรณ์ปลายทาง UDP ที่มีอยู่

ตัวอย่าง

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

เมื่อสคริปต์ทำงาน สคริปต์จะแยกเจ้าของซ็อกเก็ตในอุปกรณ์ปลายทาง UDP ที่ำทำเครื่องหมาย และหยุดซ็อกเก็ต

05) รายการเซิร์ฟเวอร์ DNS

ส่วนนี้มีข้อมูลเกี่ยวกับการกำหนดค่าเซิร์ฟเวอร์ DNS ในปัจจุบัน

ตัวอย่าง

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

รายการเซิร์ฟเวอร์ DNS ที่ทำเครื่องหมายจะถูกลบออกเมื่อคุณเรียกใช้สคริปต์

06) รายการรีจิสตรีที่สำคัญ

ส่วนนี้มีข้อมูลเกี่ยวกับรายการรีจิสตรีที่สำคัญ

ตัวอย่าง

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

รายการที่ทำเครื่องหมายจะถูกลบ ลดเป็นค่า 0 ไบต์ หรือรีเซ็ตเป็นค่าเริ่มต้นเมื่อเรียกใช้สคริปต์ ระบบจะใช้การทำงานกับรายการบางอย่าง ทั้งนี้ขึ้นอยู่กับประเภทของรายการและค่ารหัสในรีจิสตรีบางรายการ

07) บริการ

ส่วนนี้จะแสดงบริการที่ลงทะเบียนภายในระบบ

ตัวอย่าง

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

ระบบจะหยุดบริการที่ทำเครื่องหมายและบริการที่มีการอ้างอิง และจะถอนการติดตั้งเมื่อเรียกใช้สคริปต์

08) ไดรเวอร์

ส่วนนี้จะแสดงไดรเวอร์ที่ติดตั้ง

ตัวอย่าง

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

เมื่อคุณเรียกใช้สคริปต์ ไดรเวอร์ที่เลือกไว้จะหยุดทำงาน โปรดทราบว่าไดรเวอร์บางประเภทจะไม่หยุดทำงาน

09) ไฟล์ที่สำคัญ

ส่วนนี้มีข้อมูลเกี่ยวกับไฟล์ที่สำคัญต่อการทำงานที่ถูกต้องของระบบปฏิบัติการ

ตัวอย่าง

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

รายการที่เลือกจะถูกลบหรือรีเซ็ตเป็นค่าเริ่มต้น

10) งานของเครื่องมือวางกำหนดการ

ส่วนนี้มีข้อมูลเกี่ยวกับงานของเครื่องมือวางกำหนดการ

ตัวอย่าง

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅