Создание сценариев службы, Структура сценария службы – Инструкция по эксплуатации ESET NOD32 Антивирус 6

83

5.6.4.1 Создание сценариев службы

Для того чтобы создать сценарий, щелкните правой кнопкой мыши любой объект в древовидном меню (в
левой панели) главного окна ESET SysInspector. В контекстном меню выберите команду Экспортировать все
разделы в сценарий службы или Экспортировать выбранные разделы в сценарий службы.

ПРИМЕЧАНИЕ. Сценарий службы нельзя экспортировать во время сравнения двух журналов.

5.6.4.2 Структура сценария службы

Первая строка заголовка сценария содержит данные о версии модуля (ev), версии графического интерфейса
пользователя (gv) и версии журнала (lv). Эти данные позволяют отслеживать изменения в файле в формате
XML, используемом для создания сценария. Они предотвращают появление несоответствий на этапе
выполнения. Эту часть сценария изменять не следует.

Остальное содержимое файла разбито на разделы, элементы которых можно редактировать. Те из них,
которые должны быть обработаны сценарием, следует пометить. Для этого символ «-» перед элементом
нужно заменить на символ «+». Разделы отделяются друг от друга пустой строкой. Каждый раздел имеет
собственный номер и название.

01) Running processes (Запущенные процессы)

В этом разделе содержится список процессов, запущенных в системе. Каждый процесс идентифицируется по
UNC-пути, а также по хэш-коду CRC16, заключенному в символы звездочки (*).

Пример.

01) Running processes:

- \SystemRoot\System32\smss.exe *4725*

- C:\Windows\system32\svchost.exe *FD08*

+ C:\Windows\system32\module32.exe *CF8A*

[...]

В данном примере выделен (помечен символом «+») процесс module32.exe. При выполнении сценария этот
процесс будет завершен.

02) Loaded modules (Загруженные модули)

В этом разделе перечислены используемые в данный момент системные модули.

Пример.

02) Loaded modules:

- c:\windows\system32\svchost.exe

- c:\windows\system32\kernel32.dll

+ c:\windows\system32\khbekhb.dll

- c:\windows\system32\advapi32.dll

[...]

В данном примере модуль khbekhb.dll помечен символом «+». При выполнении сценария процессы,
использующие данный модуль, распознаются и завершаются.

03) TCP connections (Подключения по TCP)

Этот раздел содержит данные о существующих подключениях по TCP.

Пример.

03) TCP connections:

- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe

- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,

- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE

- Listening on *, port 135 (epmap), owner: svchost.exe

+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner:

System

[...]

При запуске сценария обнаруживается владелец сокета помеченных подключений по TCP, после чего сокет
останавливается, высвобождая системные ресурсы.