|
Первая строка заголовка сценария содержит данные о версии модуля
(ev), версии графического интерфейса пользователя (gv) и версии
журнала (lv). Эти данные позволяют отслеживать изменения в файле в
формате XML, используемом для создания сценария. Они предотвращают
появление несоответствий на этапе выполнения. Эту часть сценария
изменять не следует.
Остальное содержимое файла разбито на разделы, элементы которых
можно редактировать. Те из них, которые должны быть обработаны
сценарием, следует пометить. Для этого символ «-» перед элементом
нужно заменить на символ «+». Разделы отделяются друг от друга
пустой строкой. Каждый раздел имеет собственный номер и
название.
01) Running
processes (Запущенные процессы)
В этом разделе содержится список процессов, запущенных в
системе. Каждый процесс идентифицируется по UNC-пути, а также по
хэш-коду CRC16, заключенному в символы звездочки (*).
Пример.
01) Running processes:
- \SystemRoot\System32\smss.exe
*4725*
- C:\Windows\system32\svchost.exe
*FD08*
+ C:\Windows\system32\module32.exe
*CF8A*
[...]
В данном примере выделен (помечен символом «+») процесс
module32.exe. При выполнении сценария этот процесс будет
завершен.
02) Loaded modules
(Загруженные модули)
В этом разделе перечислены используемые в данный момент
системные модули.
Пример.
02) Loaded modules:
-
c:\windows\system32\svchost.exe
-
c:\windows\system32\kernel32.dll
+
c:\windows\system32\khbekhb.dll
-
c:\windows\system32\advapi32.dll
[...]
В данном примере модуль khbekhb.dll помечен символом «+». При
выполнении сценария процессы, использующие данный модуль,
распознаются и завершаются.
03) TCP connections
(Подключения по TCP)
Этот раздел содержит данные о существующих подключениях по
TCP.
Пример.
03) TCP connections:
- Active connection: 127.0.0.1:30606
-> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007
-> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320
-> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap),
owner: svchost.exe
+ Listening on *, port 2401, owner:
fservice.exe Listening on *, port 445 (microsoft-ds), owner:
System
[...]
При запуске сценария обнаруживается владелец сокета помеченных
подключений по TCP, после чего сокет останавливается, высвобождая
системные ресурсы.
04) UDP endpoints
(Конечные точки UDP)
Этот раздел содержит информацию о существующих конечных точках
UDP.
Пример.
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500
(ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
При выполнении сценария определяется владелец сокета помеченных
конечных точек UDP, после чего сокет останавливается.
05) DNS server
entries (Записи DNS-сервера)
Этот раздел содержит информацию о текущей конфигурации
DNS-сервера.
Пример.
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
При выполнении сценария помеченные записи DNS-сервера
удаляются.
06) Important
registry entries (Важные записи реестра)
Этот раздел содержит информацию о важных записях реестра.
Пример.
06) Important registry entries:
* Category: Standard Autostart (3
items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds =
C:\Windows\system32\hkcmd.exe
- IgfxTray =
C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update =
"C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe"
/c
* Category: Internet Explorer (7
items)
HKLM\Software\Microsoft\Internet
Explorer\Main
+ Default_Page_URL =
http://thatcrack.com/
[...]
При выполнении сценария помеченные записи будут удалены, сведены
к 0-разрядным значениям или же будут восстановлены их значения по
умолчанию. Действия, применяемые к конкретным записям, зависят от
категории и значения записи реестра.
07) Services
(Службы)
Этот раздел содержит список служб, зарегистрированных в
системе.
Пример.
07) Services:
- Name: Andrea ADI Filters Service, exe
path: c:\windows\system32\aeadisrv.exe, state: Running, startup:
Automatic
- Name: Application Experience Service,
exe path: c:\windows\system32\aelupsvc.dll, state: Running,
startup: Automatic
- Name: Application Layer Gateway
Service, exe path: c:\windows\system32\alg.exe, state: Stopped,
startup: Manual
[...]
При выполнении сценария помеченные службы, а также все зависящие
от них службы будут остановлены и удалены.
08) Drivers
(Драйверы)
В этом разделе перечислены установленные драйверы.
Пример.
08) Drivers:
- Name: Microsoft ACPI Driver, exe
path: c:\windows\system32\drivers\acpi.sys, state: Running,
startup: Boot
- Name: ADI UAA Function Driver for
High Definition Audio Service, exe path:
c:\windows\system32\drivers\adihdaud.sys, state: Running, startup:
Manual
[...]
При выполнении сценария останавливаются выбранные драйверы.
Учтите, что некоторые драйверы не позволяют останавливать себя.
09) Critical files
(Критические файлы)
Этот раздел содержит информацию о файлах, критически необходимых
для правильной работы операционной системы.
Пример.
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
Либо
выбранные элементы будут удалены, либо будут восстановлены их
исходные значения.
|
