服务脚本结构

在脚本标题的第一行中,可以找到关于引擎版本 (ev)、GUI 版本 (gv) 和日志版本 (lv) 的信息。您可以使用此数据跟踪生成脚本的 .xml 文件中的可能更改,并阻止执行时的任何不一致情况。不得修改这部分脚本。

文件的其余部分分为各个部分,可以编辑其中的项目(注意这些将由脚本处理)。将项目前的“-”字符替换为“+”字符,标记要处理的项目。脚本中的各部分通过空行彼此分隔。每个部分具有编号和标题。

01) Running processes(运行进程)

此部分包含系统中运行的所有进程列表。每个进程由 UNC 路径,进而由星号中的 CRC 16 哈希代码标识 (*)。

example

示例

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

在此示例中,选择进程 module32.exe(以“+”符号标记);执行脚本时进程将结束。

02) Loaded modules(加载的模块)

此部分列出当前使用的系统模块。

example

示例

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

在此示例中,模块 khbekhb.dll 以“+”标记。脚本运行时,将使用该模块识别进程并结束它们。

03) TCP connections(TCP 连接)

此部分包含现有 TCP 连接的信息。

example

示例

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

脚本运行时,将查找标记 TCP 连接中套接字的所有者,并停止套接字以释放系统资源。

04) UDP endpoints(UDP 端点)

此部分包含现有 UDP 端点的信息。

example

示例

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

脚本运行时,将隔离标记 UDP 端点处套接字的所有者,并停止套接字。

05) DNS server entries(DNS 服务器条目)

此部分包含当前 DNS 服务器配置的信息。

example

示例

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

运行脚本时将删除标记的 DNS 服务器条目。

06) Important registry entries(重要注册表项)

此部分包含重要注册表项的信息。

example

示例

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

脚本执行时,标记项将被删除、减小至 0 字节或重置为默认值。应用于特定项的操作取决于项类别和特定注册表中的键值。

07) Services(服务)

此部分列出系统中注册的服务。

example

示例

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

执行脚本时将停止并卸载标记的服务及其相关服务。

08) Drivers(驱动程序)

此部分列出安装的驱动程序。

example

示例

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

执行脚本时,选择的驱动程序将停止。请注意,某些驱动程序不允许自行停止。

09) Critical files(关键文件)

此部分包含有关对操作系统正常工作至关重要的文件的信息。

example

示例

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

选择的项将被删除或重置为初始值。

10) 计划任务

此部分包含有关计划任务的信息。

example

示例

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]