˄˅

Cấu trúc của Script Dịch vụ

Trong dòng đầu tiên của tiêu đề của script, bạn có thể tìm thông tin về phiên bản Máy (ev), phiên bản GUI (gv) và phiên bản Nhật ký (lv). Bạn có thể sử dụng dữ liệu này để theo dõi những thay đổi có thể xảy ra trong tệp .xml nhằm tạo script và ngăn bất kỳ sự không nhất quán nào trong quá trình thực thi. Không nên thay đổi phần này của script.

Phần còn lại của tệp được chia thành các phần trong đó các mục có thể được chỉnh sửa (biểu thị những mục sẽ được script xử lý). Bạn đánh dấu các mục để xử lý bằng cách thay thế ký tự "-" đằng trước một mục bằng ký tự "+". Các phần trong script được phân tách bằng một dòng trống. Mỗi phần có một số và tiêu đề.

01) Các tiến trình đang chạy

Phần này có chứa một danh sách tất cả các tiến trình đang chạy trong hệ thống. Mỗi tiến trình được xác định bởi đường dẫn UNC và sau đó là mã băm CRC16 ở trong dấu hoa thị (*).

Ví dụ

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

Trong ví dụ này, một tiến trình, module32.exe, đã được chọn (được đánh dấu bằng ký tự "+"); tiến trình này sẽ kết thúc khi thực thi script.

02) Các mô-đun đã tải

Phần này liệt kê các mô-đun hệ thống hiện đang được sử dụng.

Ví dụ

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

Trong ví dụ này, mô-đun khbekhb.dll đã được đánh dấu bằng một ký tự "+". Khi script chạy, chương trình sẽ nhận dạng các tiến trình này bằng mô-đun cụ thể đó và kết thúc chúng.

03) Các kết nối TCP

Phần này có chứa thông tin về các kết nối TCP hiện có.

Ví dụ

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Khi chạy, script sẽ định vị chủ sở hữu của ổ cắm trong các kết nối TCP được đánh dấu và dừng ổ cắm đó, giải phóng tài nguyên hệ thống.

04) Các điểm cuối UDP

Phần này có chứa thông tin về các điểm cuối UDP hiện có.

Ví dụ

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Khi chạy, script sẽ cô lập chủ sở hữu của ổ cắm tại các điểm cuối UDP được đánh dấu và dừng ổ cắm đó.

05) Các mục nhập máy chủ DNS

Phần này có chứa thông tin về cấu hình máy chủ DNS hiện tại.

Ví dụ

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Các mục nhập máy chủ DNS đã đánh dấu sẽ bị xóa khi bạn chạy script.

06) Các mục nhập đăng ký quan trọng

Phần này có chứa thông tin về các mục nhập đăng ký quan trọng.

Ví dụ

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Các mục nhập đã đánh dấu sẽ bị xóa, giảm giá trị xuống 0-byte hoặc đặt lại về giá trị mặc định khi thực thi script. Hành động cần được áp dụng vào một mục nhập cụ thể phụ thuộc vào danh mục của mục nhập đó và giá trị khóa trong đăng ký cụ thể.

07) Các dịch vụ

Phần này liệt kê các dịch vụ được đăng ký trong hệ thống.

Ví dụ

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Các dịch vụ được đánh dấu và các dịch vụ phụ thuộc của chúng sẽ bị dừng lại và gỡ cài đặt khi script được thực thi.

08) Các trình điều khiển

Phần này liệt kê các trình điều khiển đã cài đặt.

Ví dụ

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Khi bạn thực thi một script, các trình điều khiển được chọn sẽ bị dừng lại. Xin lưu ý rằng, một số trình điều khiển sẽ không cho phép tự dừng.

09) Các tệp quan trọng

Phần này có chứa thông tin về các tệp quan trọng đối với chức năng phù hợp của hệ điều hành.

Ví dụ

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Các mục đã chọn sẽ bị xóa hoặc đặt lại về các giá trị gốc của chúng.

10) Các tác vụ theo lịch trình

Phần này có chứa thông tin về các tác vụ theo lịch trình.

Ví dụ

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅