˄˅

服務腳本的結構

您可以在腳本標題的第一行發現引擎版本 (ev)、GUI 版本 (gv) 及防護記錄版本 (lv) 的相關資訊。這些資料可讓您追蹤產生腳本之 .xml 檔案中可能存在的變更，以避免在執行期間發生任何不一致的情況。請勿改動腳本的此部分。

檔案的其他部分可分為多個區段，而這些區段中的項目是可編輯的項目 (表示將由腳本處理的項目)。將項目前的 "-" 字元取代為 "+" 字元可將項目標記為要處理的項目。腳本中的各個區段是以空白的文字行做為區隔。每個區段都有各自的編號和標題。

01) Running processes (執行程序)

此區段包含系統中所有執行之程序的清單。每個程序均可透過其 UNC 路徑及隨後之星號 (*) 間的 CRC16 雜湊碼加以識別。

範例

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

在此範例中，module32.exe 程序已經過選取 (前端有 "+" 字元標記)；程序將在執行腳本後結束。

02) Loaded modules (載入的模組)

此區段可列出目前使用的系統模組。

範例

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

在此範例中，khbekhb.dll 模組前有 "+" 標記。執行腳本時，腳本能使用該特定的模組來辨識程序及結束程序。

03) TCP connections (TCP 連線)

此區段含有和現有 TCP 連線相關的資訊。

範例

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

執行腳本時，腳本能尋找已標記之 TCP 連線的通訊端擁有者，接著再停止通訊端以釋放系統資源。

04) UDP endpoints (UDP 端點)

此區段含有和現有 UDP 端點相關的資訊。

範例

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

執行腳本時，腳本能隔離已標記之 UDP 端點上的通訊端擁有者，然後再停止通訊端。

05) DNS server entries (DNS 伺服器項目)

此區段含有和目前 DNS 伺服器配置相關的資訊。

範例

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

執行腳本時，已標記的 DNS 伺服器項目會遭到移除。

06) Important registry entries (重要的登錄項目)

此區段含有和重要登錄項目相關的資訊。

範例

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

執行腳本時，已標記的項目將遭到刪除、減少為 0 位元值或重設其預設值。要套用至特定項目的處理方法取決於項目類別和特定登錄中的機碼值。

07) Services (服務)

此區段可列出系統內的已登錄服務。

範例

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

執行腳本時，已標記之服務與其相依服務均會遭到停止及解除安裝。

08) Drivers (驅動程式)

此區段可列出已安裝的驅動程式。

範例

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

當您執行腳本時，選取的驅動程式會停止。請注意，某些驅動程式並不允許自己停止。

09) Critical files (重要檔案)

此區段含有和作業系統正常運作所需之檔案相關的資訊。

範例

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

選取的項目將遭到刪除或重設為原始的值。

10) 已排程的工作

此區段含有已排程工作的相關資訊。

範例

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]

˄˅