Структура службового скрипту

У першому рядку заголовка скрипту можна знайти інформацію про версію ядра (ev), версію графічного інтерфейсу користувача (gv) і версію журналу (lv). Ці дані можна використовувати для відстеження можливих змін у файлі .xml, який застосовується для створення звіту й уникнення появи невідповідностей під час виконання скрипту. Цю частину скрипту не можна змінювати.

Інша частина файлу поділена на розділи, елементи яких можна змінювати (позначте ті, що оброблятимуться скриптом). Елементи, призначені для обробки, позначаються заміною символу "-" перед елементом на символ "+". Розділи скрипту відділяються один від одного порожнім рядком. Кожен розділ має номер і заголовок.

01) Running processes (Запущені процеси)

Цей розділ містить список усіх процесів, запущених у системі. Кожен процес визначається за допомогою шляху у форматі UNC та його геш-коду CRC16, з обох боків відокремленого зірочками (*).

example

Приклад

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

На цьому прикладі було вибрано процес module32.exe (позначено символом "+"); процес буде завершено після виконання скрипту.

02) Loaded modules (Завантажені модулі)

Цей розділ містить перелік наразі використовуваних системних модулів.

example

Приклад

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

На цьому прикладі модуль khbekhb.dll позначено символом "+". Коли скрипт буде запущено, система розпізнає процес, використовуючи вказаний модуль, і завершить його.

03) TCP connections (Підключення TCP)

Цей розділ містить інформацію про наявні підключення TCP.

example

Приклад

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Коли скрипт буде запущено, система визначить власника сокета для позначених підключень TCP й зупинить сокет, звільняючи системні ресурси.

04) UDP endpoints (Кінцеві точки UDP)

Цей розділ містить інформацію про наявні кінцеві точки UDP.

example

Приклад

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Коли скрипт буде запущено, система ізолює власника сокета для позначених кінцевих точок UDP й зупинить сокет.

05) DNS server entries (Записи DNS-сервера)

Цей розділ містить інформацію про поточну конфігурацію DNS-сервера.

example

Приклад

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Позначені записи DNS-сервера буде видалено після запуску скрипту.

06) Important registry entries (Важливі розділи реєстру)

У цьому розділі міститься інформація про важливі розділи реєстру.

example

Приклад

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Після виконання скрипту позначені записи буде видалено, скорочено до значення обсягом 0 байт, або буде відновлено їх стандартні значення. Дія, яка застосовуватиметься до певного запису, залежить від категорії запису та значення окремого розділу реєстру.

07) Services (Служби)

Цей розділ містить перелік служб, зареєстрованих у системі.

example

Приклад

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Після виконання скрипту позначені служби та ті, що залежать від них, буде зупинено й видалено.

08) Drivers (Драйвери)

Цей розділ містить перелік інстальованих драйверів.

example

Приклад

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Під час виконання скрипту роботу вибраних драйверів буде зупинено. Зауважте, що деякі драйвери не дозволяють вимкнення.

09) Critical files (Критичні файли)

Цей розділ містить інформацію про файли, критично важливі для належного функціонування операційної системи.

example

Приклад

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Вибрані елементи буде видалено, або система відновить їх стандартні значення.

10) Заплановані завдання

У цьому розділі міститься інформація про заплановані завдання.

example

Приклад

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]