Tjänsteskriptets struktur

Den första raden i skriptets rubrik innehåller information om motorversion (ev), GUI-version (gv) och loggversion (lv).

Använd dessa uppgifter för att spåra eventuella ändringar i .xml-filen som genererar skriptet och förhindra motsägelser under körning. Denna del av skriptet bör inte ändras.

Resten av filen delas in i sektioner i vilka det går att redigera objekt (ange dem som bearbetas av skriptet). Markera objekt till bearbetning genom att byta tecknet - framför objektet med tecknet +. Sektionerna i skriptet avskiljs från varandra med en tom rad. Varje sektion har ett nummer och en rubrik.

01) Processer som körs

Denna sektion innehåller en lista med alla processer som körs på systemet. Varje process identifieras av sin UNC-sökväg och därefter sin CRC16-hashkod mellan asterisker (*).

Exempel:

I detta exempel valdes processen module32.exe (markerad med ett plustecken), processen avslutas när skriptet körs.

02) Inlästa moduler

Denna sektion visar systemmoduler som används.

Exempel:

02) Loaded modules:

- c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...]

I detta exempel markerades modulen khbekhb.dll med ett +. När skriptet körs känner det igen processerna som använder den modulen och avslutar dem.

03) TCP-anslutningar

Denna sektion innehåller information om befintliga TCP-anslutningar.

Exempel:

03) TCP connections:

- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,

- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe

+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner:

System [...]

När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket och frigör systemresurser.

04) UDP-slutpunkter

Denna sektion innehåller information om befintliga UDP-slutpunkter.

Exempel:

04) UDP endpoints:

- 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702

- 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...]

När skriptet körs söker det efter ägaren till en socket i de markerade TCP-anslutningarna och stoppar denna socket.

05) DNS-serverposter

Denna sektion innehåller information om den aktuella DNS-serverkonfigurationen.

Exempel:

05) DNS server entries:

+ 204.74.105.85 - 172.16.152.2 [...]

Markerade DNS-serverposter tas bort när skriptet körs.

06) Viktiga registerposter

Denna sektion innehåller information om viktiga registerposter.

Exempel:

06) Important registry entries:

* Category: Standard Autostart (3 items)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c

* Category: Internet Explorer (7 items)

HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/

[...]

De markerade posterna tas bort, reducerade till 0-bytevärden eller återställda till sina standardvärden när skriptet körs.

Åtgärden som vidtas för en viss post beror på postens kategori och nyckelns värde i det specifika registret.

07) Tjänster

Denna sektion visar tjänster som registrerats i systemet.

Exempel:

07) Services:

- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic

- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic

- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual

[...]

De markerade tjänsterna och deras beroende tjänster stoppas och avinstalleras när skriptet körs.

08) Drivrutiner

Denna sektion visar installerade drivrutiner.

Exempel:

08) Drivers:

- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot

- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32

\drivers\adihdaud.sys, state: Running, startup: Manual [...]

När skriptet körs, stoppas de valda drivrutinerna. Observera att en del drivrutiner inte tillåter att de stoppas.

09) Kritiska filer

Detta avsnitt innehåller information om filer som är kritiska för operativsystemets funktion.

Exempel:

De valda objekten antingen tas bort eller återställs till sina ursprungliga värden.

5.6.4.3 Köra tjänsteskript

Markera alla önskade objekt, spara och stäng sedan skriptet. Kör det redigerade skriptet direkt i ESET SysInspector huvudfönster genom att välja alternativet Kör tjänsteskript från Arkiv-menyn. När du öppnar ett skript, visar

programmet följande meddelande: Vill du köra tjänsteskriptet %Skriptnamn%? När valet bekräftats, visas kanske en annan varning som talar om att tjänsteskriptet du försöker köra inte har signerats. Klicka på Kör för att starta skriptet.

Ett dialogfönster bekräftar att skriptet kördes.

Om det endast gick att delvis bearbeta skriptet, visas ett dialogfönster med följande meddelande: Tjänsteskriptet har delvis körts. Vill du visa felrapporten? Välj Ja för att visa en utförlig felrapport med åtgärderna som inte utfördes.

Om skriptet inte kändes igen, visas ett dialogfönster med följande meddelande: Det markerade tjänsteskriptet är inte signerat. Om du kör osignerade och okända skript kan datorns information skadas avsevärt. Vill du köra skriptet och utföra åtgärderna? Detta kan orsakas av motsägelser i skriptet (skadad rubrik, skadad sektionsrubrik, saknad tom rad mellan sektioner osv.). Det går att antingen öppna skriptfilen på nytt och rätta till felen eller skapa ett nytt tjänsteskript.

5.6.5 FAQ

Behövs det administratörsbehörighet för att köra ESET SysInspector?

Även om det inte behövs administratörsbehörighet för att köra ESET SysInspector kan vissa av uppgifterna som programmet samlar in bara hämtas med ett administratörskonto. Om programmet körs av en standardanvändare eller en begränsad användare samlas färre uppgifter om operativsystemet in.

Skapar ESET SysInspector loggfil?

ESET SysInspector kan skapa en loggfil med datorns konfiguration. Välj Arkiv > Spara logg i programmets

huvudfönster om du vill spara en loggfil. Loggfilerna sparas i XML-format. Filerna sparas som standard i katalogen % ANVÄNDARPROFIL%\Mina dokument\ med formatet SysInspector-%DATORNAMN%-ÅÅMMDD-TTMM.XML. Du kan ändra platsen och namnet innan du sparar loggfilen om du föredrar det.

Hur kan jag visa ESET SysInspector-loggfilen?

Visa en loggfil som har skapats av ESET SysInspector genom att köra programmet och klicka på Arkiv > Öppna logg i programmets huvudfönster. Du kan även dra och släppa loggfiler på ESET SysInspector-programmet. Om du ofta behöver visa loggfiler i ESET SysInspector rekommenderar vi att du skapar en genväg till filen SYSINSPECTOR.EXE på ditt skrivbord. Det går sedan dra och släppa loggfiler på genvägsikonen för att visa dem. Av säkerhetsskäl kanske Windows Vista/7 inte tillåter att dra och släppa mellan fönster som har olika behörigheter.

Finns det någon specifikation tillgänglig för loggfilsformatet? Finns det ett SDK?

I det nuvarande läget finns det varken en specifikation för loggfilen eller ett SDK eftersom programmet fortfarande är under utveckling. När programmet har släppts kan vi eventuellt tillhandahålla dessa beroende på feedback och efterfrågan från kunder.

Hur utvärderar ESET SysInspector den risk som ett visst objekt utgör?

I de flesta fall tilldelar ESET SysInspector risknivåer till objekt (filer, processer, registernycklar osv.) med hjälp av åtskilliga heuristiska regler så att egenskaperna i varje objekt kan granskas och risken för skadlig aktivitet kan utvärderas. Baserat på heuristiken kan objekt tilldelas en risknivå från 1 - Okej (grönt) till 9 - Riskfyllt (rött). I det vänstra

navigeringsfönstret färgläggs sektionerna enligt den högsta risknivån som ett objekt i dem har tilldelats.

Betyder risknivån 6: Okänt (rött) att ett objekt är farligt?

Utvärderingarna som görs av ESET SysInspector betyder inte nödvändigtvis att ett objekt är skadligt. Den bedömningen bör göras av en säkerhetsexpert. ESET SysInspector har utformats för att tillhandahålla en snabb utvärdering för säkerhetsexperter så att de vet vilka objekt i ett system som de ska undersöka i mer detalj.

Varför ansluter ESET SysInspector till Internet när programmet körs?

Liksom många andra program signeras ESET SysInspector med ett digitalt signaturcertifikat för att underlätta kontrollen om programvaran har utgetts av ESET och att det inte har ändrats. Operativsystemet kontaktar en certifikatutfärdare för att kontrollera certifikatets giltighet och programvaruutgivarens identitet. Det här är en normal funktion för alla program på Microsoft Windows som är digitalt signerade.

Vad är Anti-Stealth-teknik?

Anti-Stealth-tekniken innebär att rootkit identifieras på ett effektivt sätt.

Om systemet angrips av skadlig kod som fungerar som ett rootkit utsätts användaren för dataförlust eller -stöld. Om inte ett speciellt verktyg mot rootkit används är det nästan omöjligt att identifiera rootkit.

Varför finns det ibland filer markerade Signerad av MS som samtidigt har en annan post i Företagsnamn?

När den körbara filens digital signatur identifieras, söker ESET SysInspector först efter en digital signatur som är

inbäddad i filen. Om en digital signatur hittas, valideras filen med denna information. Om en digital signatur inte hittas, söker ESI efter motsvarande CAT-fil (säkerhetskatalog %systemroot%\system32\catroot) som innehåller information om den körbara filen som bearbetas. Om den relevanta CAT-filen hittas, tillämpas den digitala signaturen för denna CAT i valideringen av den körbara filen.

Detta är orsaken till att filer ibland markeras som Signerad av MS men har en annan post i Företagsnamn.

Exempel:

Windows 2000 inkluderar programmet HyperTerminal som finns i C:\Program\Windows NT. Huvudprogrammets körbara fil är inte digitalt signerad, men ESET SysInspector markerar den som en fil signerad av Microsoft. Orsaken till detta är en referens i C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat som pekar på C:

\Program\Windows NT\hypertrm.exe (den huvudsakliga körbara filen för programmet HyperTerminal) och sp4.cat är digitalt signerade av Microsoft.