サービススクリプトの構造

スクリプトのヘッダの最初の行には、エンジンバージョン(ev)、GUIバージョン(gv)、およびログバージョン(lv)に関する情報が記載されています。このデータを使用して、スクリプトを生成した.xmlファイル内の変更内容を追跡し、実行中に不整合が発生するのを防ぐことができます。スクリプトのこの部分は変更しないでください。

ファイルの残りの部分は、複数のセクションに分かれており、そこでアイテムを編集する(つまり、アイテムがスクリプトによって処理されることを示す)ことができます。アイテムの前にある"-"記号を"+"記号に置き換えることで、アイテムが処理対象としてマークされます。スクリプト内の各セクションは、空の行によって区切られています。各セクションには、番号とタイトルが付けられています。

01) Running processes(実行中のプロセス):

このセクションには、システム内で実行されているすべてのプロセスのリストが含まれます。各プロセスは、そのUNCパスと、それに続くアスタリスク (*) で囲まれたCRC16ハッシュコードによって識別されます。

例:

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

この例では、プロセスmodule32.exeが選択されています("+"記号でマークされています)。このプロセスは、スクリプトの実行時に終了します。

02) Loaded modules(読み込まれたモジュール):

このセクションには、現在使用されているシステムモジュールのリストが示されます。

例:

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

この例では、モジュールkhbekhb.dllが"+"でマークされています。スクリプトが実行されると、この特定のモジュールを使用しているプロセスが認識され、それらが終了されます。

03) TCP connections(TCP接続):

このセクションには、既存のTCP接続に関する情報が含まれます。

例:

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

スクリプトを実行すると、マークされたTCP接続内のソケットの所有者が見つけられ、ソケットが停止されて、システムリソースが解放されます。

04) UDP endpoints(UDPエンドポイント):

このセクションには、既存のUDPエンドポイントに関する情報が含まれます。

例:

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

スクリプトが実行されると、マークされたUDPエンドポイントのソケットの所有者が分離され、ソケットが停止されます。

05) DNS server entries(DNSサーバー関連のエントリー):

このセクションには、現在のDNSサーバのコンフィグレーションに関する情報が含まれます。

例:

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

スクリプトが実行されると、マークされたDNSサーバーエントリーが削除されます。

06) Important registry entries(重要なレジストリーエントリー):

このセクションには、重要なレジストリーエントリーに関する情報が含まれます。

例:

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

スクリプトが実行されると、マークされたエントリーが削除されるか、0バイト値に縮小されるか、またはその既定値にリセットされます。特定のエントリーに適用されるアクションは、エントリーのカテゴリーと特定のレジストリーのキー値によって異なります。

07) Services(サービス):

このセクションには、システム内の登録済みサービスのリストが示されます。

例:

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

スクリプトが実行されると、マークされたサービスとそれらの依存サービスは停止され、アンインストールされます。

08) Drivers(ドライバー):

このセクションには、インストール済みのドライバーのリストが示されます。

例:

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

スクリプトを実行すると、選択したドライバーは停止します。ドライバーによっては、停止するようになっていないことがあります。

09) Critical files(不可欠なファイル):

このセクションには、オペレーティングシステムが正常に機能するために不可欠なファイルに関する情報を記載しています。

例:

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

選択したアイテムは、削除されるか、またはその元の値にリセットされます。

10) スケジュールタスク

このセクションには、スケジュールタスクに関する情報が含まれます。

例:

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]