Hizmet Betiği

Belgede ESET NOD32 ANTIVIRUS 6 (sayfa 76-80)

5. İleri düzey kullanıcı

5.5 Boşta durumunun algılanması

5.6.4 Hizmet Betiği

Hizmet betiği, ESET SysInspector kullanan müşterilere sistemden istenmeyen nesneleri kolaylıkla kaldırarak yardım eden bir araçtır.

Hizmet betiği, kullanıcının ESET SysInspector günlüğünün tamamını veya seçili bölümlerini vermesine olanak sağlar.

Verme işleminden sonra, istenmeyen nesneleri silmek üzere işaretleyebilirsiniz. Ardından işaretlenen nesneleri silmek için değiştirilen günlüğü çalıştırabilirsiniz.

Hizmet Betiği, önceden sistem sorunlarını tanılama deneyimi olan ileri düzey kullanıcılar için uygundur. Niteliksiz kişiler tarafından uygulanan değişiklikler işletim sisteminin zarar görmesine neden olabilir.

Örnek

Bilgisayarınızın antivirüs programınız tarafından algılanmayan bir virüsten etkilenmiş olduğundan şüphelenirseniz, aşağıdaki adım adım yönergeleri izleyin:

1. Yeni bir sistem görüntüsü oluşturmak için ESET SysInspector uygulamasını çalıştırın.

2. Tüm öğeleri işaretlemek için, soldaki bölümde (ağaç yapısında) birinci öğeyi seçin, Shift tuşuna basıp son öğeyi seçin.

3. Seçili nesneleri sağ tıklatın ve Seçili Bölümleri Hizmet Betiğine Ver seçeneğini belirleyin.

4. Seçilen nesneler yeni bir günlüğe verilecektir.

5. Bu tüm prosedürün en önemli adımıdır: Yeni günlüğü açın ve kaldırmak istediğiniz tüm nesneler için - özniteliğini + olarak değiştirin. Lütfen önemli işletim sistemi dosyalarını/nesnelerini işaretlemediğinizden emin olun.

6. ESET SysInspector uygulamasını açın, Dosya > Hizmet Betiği Çalıştır seçeneklerini tıklatın ve betiğinizin yolunu girin.

7. Betiği çalıştırmak için Tamam'ı tıklatın.

5.6.4.1 Hizmet betiği oluşturma

Betik oluşturmak için, ESET SysInspector ana penceresindeki menü ağacından (sol bölmede) herhangi bir öğeyi sağ tıklatın. İçerik menüsünden, Tüm Bölümleri Hizmet Betiğine Ver seçeneğini veya Seçili Bölümleri Hizmet Betiğine Ver seçeneğini belirleyin.

NOT: İki günlük karşılaştırılırken hizmet betiği verilemez.

5.6.4.2 Hizmet betiğinin yapısı

Betik başlığının ilk satırında, Altyapı sürümü (ev), GUI sürümü (gv) ve Günlük sürümü (lv) hakkındaki bilgileri bulabilirsiniz. Bu verileri, betiği oluşturan .xml dosyasında yapılan olası değişikleri izlemek ve yürütme sırasında tutarsızlıkları engellemek için kullanabilirsiniz. Betiğin bu bölümü değiştirilmemelidir.

Dosyanın geri kalanı, öğelerin düzenlenebileceği bölümlere ayrılır (betik tarafından işlenecek olan öğeleri gösterin). Bir öğenin önündeki "-" karakterini "+" karakteriyle değiştirerek öğeleri işlenmek üzere işaretleyebilirsiniz. Betiğin bölümleri bir boş satırla birbirinden ayrılmıştır. Her bölüm bir numara ve başlık içerir.

01) Çalışan işlemler

Bu bölüm, sistemde çalışan tüm işlemlerin listesini içerir. Her işlem, UNC yolu ve ardından gelen yıldız işaretleriyle (*) gösterilmiş CRC16 karma koduyla tanımlanır.

Örnek:

Bu örnekte module32.exe işlemi seçilmiştir ("+" karakteriyle işaretlenmiştir); işlem, betik yürütüldüğünde biter.

02) Yüklü modüller

Bu bölümde, geçerli olarak kullanılan sistem modülleri listelenir.

Örnek:

02) Loaded modules:

- c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...]

Bu örnekte, khbekhb.dll modülü bir "+" ile işaretlenmiştir. Betik çalıştırıldığında, söz konusu modülü kullanarak işlemleri tanır ve bitirir.

03) TCP bağlantıları

Bu bölüm, var olan TCP bağlantıları hakkında bilgiler içerir.

Örnek:

03) TCP connections:

- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,

- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe

+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner:

System [...]

Betik çalıştırıldığında, işaretlenen TCP bağlantılarında yuvanın sahibini bulup yuvayı durdurarak sistem kaynaklarının kullanımını azaltır.

04) UDP bitiş noktaları

Bu bölüm, var olan UDP bitiş noktaları hakkında bilgiler içerir.

Örnek:

04) UDP endpoints:

- 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702

- 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...]

Betik çalıştırıldığında, işaretlenen UDP bitiş noktalarında yuvanın sahibini ayırıp yuvayı durdurur.

05) DNS sunucusu girişleri

Bu bölüm, geçerli DNS sunucusu yapılandırması hakkında bilgiler içerir.

Örnek:

05) DNS server entries:

+ 204.74.105.85 - 172.16.152.2 [...]

İşaretlenen DNS sunucusu girişleri, betiği çalıştırdığınızda kaldırılır.

06) Önemli kayıt defteri girişleri

Bu bölüm önemli kayıt defteri girişleri hakkında önemli bilgiler içerir.

Örnek:

06) Important registry entries:

* Category: Standard Autostart (3 items)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c

* Category: Internet Explorer (7 items)

HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/

[...]

Betik yürütüldüğünde, işaretlenen girişler silinir, 0 baytlık değerlere indirilir veya varsayılan değerlerine sıfırlanır. Belirli bir girişe uygulanacak eylem, ilgili kayıt defterindeki giriş kategorisine ve anahtar değerine bağlıdır.

07) Hizmetler

Bu bölüm, sisteme kaydedilen hizmetleri listeler.

Örnek:

07) Services:

- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic

- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic

- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual

[...]

Betik yürütüldüğünde, hizmetler işaretlenir ve bağlı hizmetleri durdurulur ve kaldırılır.

08) Sürücüler

Bu bölüm, yüklü sürücüleri listeler.

Örnek:

08) Drivers:

- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot

- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32

\drivers\adihdaud.sys, state: Running, startup: Manual [...]

Betiği yürüttüğünüzde, seçili sürücüler durdurulur. Bazı sürücülerin durdurulmaya izin vermeyeceklerini unutmayın.

09) Kritik dosyalar

Bu bölüm, işletim sisteminin düzgün çalışması açısından kritik önem taşıyan dosyalar hakkında bilgiler içerir.

Örnek:

Seçili öğeler silinir veya özgün değerlerine sıfırlanır.

5.6.4.3 Hizmet betiklerini yürütme

İstenen tüm öğeleri işaretleyin, ardından betiği kaydedip kapatın. Dosya menüsünden Hizmet Betiği Çalıştır

seçeneğini belirleyerek betiği doğrudan ESET SysInspector ana penceresinden çalıştırın. Bir betiği açtığınızda, program size aşağıdaki iletiyi gösterir: "%Betikadı%" hizmet betiğini çalıştırmak istediğinizden emin misiniz? Seçiminizi onayladıktan sonra, çalıştırmayı denediğiniz hizmet betiğinin imzalanmadığını bildiren başka bir uyarı görünebilir. Betiği başlatmak için Çalıştır'ı tıklatın.

Bir iletişim penceresi betiğin başarılı bir şekilde yürütüldüğünü doğrular.

Betik yalnızca kısmen işlenebildiyse, aşağıdaki iletiyi içeren bir iletişim penceresi görünür: Hizmet betiği kısmen çalıştırıldı. Hata raporunu görüntülemek istiyor musunuz? Yürütülmeyen işlemleri listeleyen karmaşık raporu görüntülemek için Evet'i seçin.

Betik tanınmazsa, aşağıdaki iletiyi içeren bir iletişim penceresi görünür: Seçili hizmet betiği imzalı değil. İmzasız ve bilinmeyen betiklerin çalıştırılması, bilgisayar verilerinize ciddi şekilde zarar verebilir. Betiği çalıştırıp eylemleri gerçekleştirmek istediğinizden emin misiniz? Bunun nedeni, betik içindeki tutarsızlıklar (zarar görmüş başlık, bozuk bölüm başlığı, bölümler arasında eksik boş satır vb.) olabilir. Betik dosyasını yeniden açıp betik içindeki hataları düzeltebilir veya yeni bir hizmet betiği oluşturabilirsiniz.

5.6.5 SSS

ESET SysInspector uygulamasının çalıştırılması için Yönetici ayrıcalıkları gerekir mi?

ESET SysInspector uygulamasının çalıştırılması için Yönetici ayrıcalıkları gerekmese de topladığı bilgilerin bir kısmına yalnızca Yönetici hesabından erişilebilir. Standart Kullanıcı veya Sınırlı Kullanıcı olarak çalıştırılması, işletim ortamınızla ilgili daha az bilgi toplanmasına neden olur.

ESET SysInspector günlük dosyası oluşturur mu?

ESET SysInspector, bilgisayarınızın yapılandırmasının bir günlük dosyasını oluşturabilir. Bunu kaydetmek için ana program penceresinden Dosya > Günlüğü Kaydet seçeneğini tıklatın. Günlükler XML biçiminde kaydedilir. Varsayılan olarak dosyalar, "SysInpsector-%BİLGİSAYARADI%-YYAAGG-SSDD.XML" dosya adlandırma kuralıyla %KULLANICIPROFİLİ

%\Belgelerim\ dizinine kaydedilir. Günlük dosyasını kaydetmeden önce isterseniz günlük dosyasının konumunu ve adını değiştirebilirsiniz.

ESET SysInspector günlük dosyasını nasıl görüntülerim?

ESET SysInspector tarafından oluşturulan bir günlük dosyasını görüntülemek için, programı çalıştırın ve ana program penceresinde Dosya > Günlüğü Aç seçeneğini tıklatın. Ayrıca dosyaları ESET SysInspector uygulamasına sürükleyip bırakabilirsiniz. ESET SysInspector günlük dosyalarını sık sık görüntülemeniz gerekiyorsa, Masaüstünüzde

SYSINSPECTOR.EXE dosyasının bir kısayolunu oluşturmanızı öneririz; böylece günlük dosyalarını görüntülemek için bu kısayola sürükleyip bırakabilirsiniz. Güvenlik nedeniyle, Windows Vista/7 farklı güvenlik izinlerine sahip pencereler arasında sürükleyip bırakma işlemine izin vermeyebilir.

Günlük dosyası biçimi için bir belirtim kullanılabilir mi? SDK için bir belirtim kullanılabilir mi?

Program halen gelişim aşamasında olduğundan, şu anda ne günlük dosyası için ne de SDK için bir belirtim kullanılabilir.

Program yayımlandıktan sonra, müşteri geribildirimini ve talebini esas alarak bunları sağlayabiliriz.

ESET SysInspector, belirli bir nesnenin oluşturduğu riski nasıl değerlendirir?

Çoğu durumda ESET SysInspector, her nesnenin özelliklerini inceleyen ve sonra kötü amaçlı etkinlik olasılığını ölçen bir sezgisel tarama dizisini kullanarak nesnelere (dosyalar, işlemler, kayıt defteri anahtarları, vb.) risk düzeyleri atar. Bu sezgisel taramalar esas alınarak nesnelere 1 - İyi (yeşil) ile 9 - Riskli (kırmızı) arasında bir risk düzeyi atanır. Sol gezinti bölmesinde bölümler, barındırdıkları bir nesnenin en yüksek risk düzeyine göre renklendirilir.

"6 - Bilinmeyen (kırmızı)" risk düzeyi, nesnenin tehlikeli olduğu anlamına mı gelir?

ESET SysInspector uygulamasının değerlendirmeleri, bir nesnenin kötü amaçlı olduğunu garantilemez; bu belirleme bir güvenlik uzmanı tarafından yapılmalıdır. ESET SysInspector, sistemde hangi nesneleri olağandışı davranış açısından incelemek isteyeceklerini bilmeleri için güvenlik uzmanlarına yönelik hızlı bir değerlendirme sağlamak üzere

tasarlanmıştır.

ESET SysInspector çalıştırıldığında neden Internet'e bağlanır?

Birçok uygulama gibi ESET SysInspector uygulaması da yazılımın ESET tarafından yayımlandığından ve

değiştirilmediğinden emin olmaya yardımcı olmak için dijital imza "sertifikası" ile imzalanmıştır. Sertifikayı doğrulamak

için, işletim sistemi bir sertifika yetkilisiyle iletişim kurarak yazılım yayımcısının kimliğini doğrular. Bu, Microsoft Windows kapsamındaki tüm dijital olarak imzalı programların normal davranışıdır.

Anti-Stealth teknoloj isi nedir?

Anti-Stealth teknolojisi, etkili kök seti algılaması sağlar.

Kök seti olarak hareket eden kötü amaçlı kod sisteme saldırırsa, kullanıcı veri kaybına veya hırsızlığa maruz kalabilir. Özel bir kök setinden korunma aracı olmadan kök setlerinin algılanması mümkün değildir.

Neden bazen aynı zamanda farklı bir "Şirket Adı" içeren "MS tarafından İmzalı" olarak işaretlenmiş dosyalar görülebiliyor?

ESET SysInspector, yürütülebilir bir dosyanın dijital imzasını tanımlamaya çalışırken ilk olarak dosyada katıştırılmış bir dijital imza olup olmadığını denetler. Dijital bir imza bulunursa, dosya bu bilgiler kullanılarak doğrulanır. Dijital imza bulunmazsa ESI, işlenen yürütülebilir dosya hakkında bilgi içeren ilgili CAT dosyasını (Güvenlik Katalogu - %systemroot%

\system32\catroot) aramaya başlar. İlgili CAT dosyası bulunursa, CAT dosyasının dijital imzası, yürütülebilir dosyanın doğrulama işlemine uygulanır.

Zaman zaman "MS tarafından İmzalı" olarak işaretlenmesine karşın farklı bir "ŞirketAdı" girişine sahip dosyalar görülmesinin nedeni budur.

Örnek:

Windows 2000, C:\Program Files\Windows NT konumunda bulunan HyperTerminal uygulamasını içerir. Ana uygulama yürütülebilir dosyası dijital imza içermez, ancak ESET SysInspector bunu Microsoft tarafından imzalı bir dosya olarak işaretler. Bunun nedeni, C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat içinde C:

\Program Files\Windows NT\hypertrm.exe konumuna (HyperTerminal uygulamasının ana yürütülebilir dosyası) işaret eden bir başvuru bulunması ve sp4.cat dosyasının Microsoft tarafından dijital olarak imzalanmış olmasıdır.

Belgede ESET NOD32 ANTIVIRUS 6 (sayfa 76-80)