Структура службового скрипту

У першому рядку заголовка скрипту можна знайти інформацію про версію ядра (ev), версію графічного інтерфейсу користувача (gv) і версію журналу (lv). Ці дані можна використовувати для відстеження можливих змін у файлі .xml, який застосовується для створення звіту й уникнення появи невідповідностей під час виконання скрипту. Цю частину скрипту не можна змінювати.

Інша частина файлу поділена на розділи, елементи яких можна змінювати (позначте ті, що оброблятимуться скриптом). Елементи, призначені для обробки, позначаються заміною символу "-" перед елементом на символ "+". Розділи скрипту відділяються один від одного порожнім рядком. Кожен розділ має номер і заголовок.

01) Running processes (Запущені процеси)

Цей розділ містить список усіх процесів, запущених у системі. Кожен процес визначається за допомогою шляху у форматі UNC та його геш-коду CRC16, з обох боків відокремленого зірочками (*).

Приклад

01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]

На цьому прикладі було вибрано процес module32.exe (позначено символом "+"); процес буде завершено після виконання скрипту.

02) Loaded modules (Завантажені модулі)

Цей розділ містить перелік наразі використовуваних системних модулів.

Приклад

02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]

На цьому прикладі модуль khbekhb.dll позначено символом "+". Коли скрипт буде запущено, система розпізнає процес, використовуючи вказаний модуль, і завершить його.

03) TCP connections (Підключення TCP)

Цей розділ містить інформацію про наявні підключення TCP.

Приклад

03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]

Коли скрипт буде запущено, система визначить власника сокета для позначених підключень TCP й зупинить сокет, звільняючи системні ресурси.

04) UDP endpoints (Кінцеві точки UDP)

Цей розділ містить інформацію про наявні кінцеві точки UDP.

Приклад

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]

Коли скрипт буде запущено, система ізолює власника сокета для позначених кінцевих точок UDP й зупинить сокет.

05) DNS server entries (Записи DNS-сервера)

Цей розділ містить інформацію про поточну конфігурацію DNS-сервера.

Приклад

05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]

Позначені записи DNS-сервера буде видалено після запуску скрипту.

06) Important registry entries (Важливі розділи реєстру)

У цьому розділі міститься інформація про важливі розділи реєстру.

Приклад

06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]

Після виконання скрипту позначені записи буде видалено, скорочено до значення обсягом 0 байт, або буде відновлено їх стандартні значення. Дія, яка застосовуватиметься до певного запису, залежить від категорії запису та значення окремого розділу реєстру.

07) Services (Служби)

Цей розділ містить перелік служб, зареєстрованих у системі.

Приклад

07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual
[...]

Після виконання скрипту позначені служби та ті, що залежать від них, буде зупинено й видалено.

08) Drivers (Драйвери)

Цей розділ містить перелік інстальованих драйверів.

Приклад

08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual
[...]

Під час виконання скрипту роботу вибраних драйверів буде зупинено. Зауважте, що деякі драйвери не дозволяють вимкнення.

09) Critical files (Критичні файли)

Цей розділ містить інформацію про файли, критично важливі для належного функціонування операційної системи.

Приклад

09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]

Вибрані елементи буде видалено, або система відновить їх стандартні значення.

10) Scheduled tasks (Заплановані завдання)

У цьому розділі міститься інформація про заплановані завдання.

Приклад:

10) Scheduled tasks

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe

- c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe

- c:\users\admin\appdata\local\google\update\googleupdate.exe /c

- c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource

- %windir%\system32\appidpolicyconverter.exe

- %windir%\system32\appidcertstorecheck.exe

- aitagent

[...]