Каждыйсистемный администратор прекрасно знает, что существует вполне определенныйнабор типовых задач, решать которые приходится постоянно, изо дня в день.Однако рано или поздно приходится встречаться с такими ситуациями, когда ипроверенные временем приемы не срабатывают, и привычные утилиты ничем помочь немогут. Вот тогда-то и приходится искать что-то новое.
Нашсегодняшний рассказ — о наборе утилит, которые помогают решать весьмаспецифические задачи — Winternals Administrator's Pak 4.1. Инструменты,входящие в Winternals Administrator's Pak, помогут вам реанимироватьWindows-системы, базирующиеся на ядре NT (имеются в виду Windows NT 4.0, 2000,XP и Server 2003), в разного рода безнадежных ситуациях, предоставив вам доступк NTFS-разделам из-под DOS'а или из собственной оболочки — ERD Commander 2003.Кстати, ERD-Commander — это своего рода изюминка компании Winternals — самаямощная и самая полезная утилита из всего набора. Не лишним будет сказать, чтоERD-Commander создавался при непосредственном участии Марка Руссиновича — одного из известнейших специалистов по «внутренностям» Windows,соавтора книги «Inside for MS Windows 2000». Но обо всем по порядку.
Всегов состав Wintermals Administrator's Pak входят 6 утилит, причем 3 из нихотносятся к программам мониторинга системы.
Установка ERD Commander 2003
УстановкаERD Commander'а потребует нескольких дополнительных усилий. Первое, чтопотребуется сделать уже после того как Administrator's Pak приобретет пропискуна жестком диске вашего компьютера, — это создать образ загрузочного диска сERD Commander'ом. Для этого достаточно запустить специальный Wizard, которыйпоможет вам пройти через все трудности, связанные с созданием загрузочногоCD-диска.
Естественно,как и любая уважающая себя ОС, ERD Commander позволяет выбирать те компоненты,которые будут доступны во время ее работы. Поскольку в полной «боевойкомплектации» получившаяся оболочка займет на диске всего 135 мегабайт,советуем вам не жадничать и включить все возможные компоненты — кто знает,какой из инструментов может вам понадобиться в экстремальной ситуации.
Понятнотакже, что ERD Commander — это очень мощное средство, которое в неумелых рукахможет поломать всю систему, поэтому, если вы не хотите, чтобы кто-то без вашеговедома, втихую, скажем, поменял пароль администратора, то позаботьтесь об этомзаранее — «запарольте» созданный вами загрузочный диск!
Нувсе, будем считать, что вы справились со всеми трудностями создания образа (принеобходимости включили в образ дополнительные драйверы для поддержкиSCSI-дисков, а также те программы и утилиты, которые вы хотите иметь под рукойна случай реанимации Windows), и теперь вам необходимо лишь перенести этотобраз на диск. Для этого вам потребуются специальные программы, записывающиеСD- или DVD-диски и поддерживающие считывание формата создаваемого диска изфайла образа, например, Roxio Easy CD & DVD Creator 6 или Nero Burning Rom6. Обратите внимание, что вы не сможете записать диск с помощью встроенных вWindows XP средств, поскольку они не позволяют создавать загрузочные диски изфайла образа, использование же более ранних версий Nero Burning Rom и RoxioEasy CD также нежелательно, поскольку в этом случае вам придется«угадывать» формат загрузочного диска! Запись же загрузочного CD сERD Commander'ом с помощью Nero Burning Rom 6 — тривиальная операция, котораяне требовала бы даже отдельного упоминания в статье, если бы эта проблема такчасто не возникала у пользователей Administrator's Pak.
Итак,просто выберите в меню Nero Burning Rom пункт Recorder и опцию Burn Image,затем укажите расположение файла с образом.
Врезультате на CD-диск должны быть перенесены следующие файлы и папки:
— Documents and Setting
— I386
— Bootsect.bin
— License.txt
— WIN51
— WIN51IP
— win51ip.SP1
— winbom.ini
Знакомствос ERD Commander 2003
Какуже говорилось, ERD Commander — это главная «фича» WinternalsAdministrator's Pak, поэтому в этой статье речь пойдет в основном о нем.Основная задача Commander'а — предоставить пользователям по возможности полныйдоступ к «мертвым системам» с помощью знакомого и привычногоинтерфейса в стиле Windows. С этой программой вам, прежде всего, станутдоступны все поддерживаемые Windows файловые системы, включая различныеварианты FAT, NTFS и CDFS. Кроме того, ERD Commander содержит утилиты,позволяющие редактировать реестр, изменять список загружаемых драйверов ислужб, изменять пароли встроенных учетных записей (включая даже парольадминистратора), а также некоторые более привычные программы.
Спервого взгляда ERD Commander невозможно отличить от Windows XP: все та жетрадиционная иконка My Computer, та же кнопка Start, даже окошки, и те — почтитакие же. Но если присмотреться повнимательней, разница становится вполнеочевидной. Во-первых, набор утилит в меню Start совсем другой, да и стандартныхвозможностей у такой «Windows с компакт-диска» гораздо меньше, чем унормально функционирующей ОС. Зато утилит для восстановления системы — болеечем достаточно. Кроме того, разработчики ERD Commander'а специальнопозаботились о том, чтобы у пользователей не возникло нездорового желаниясовсем удалить свою Windows и дальше работать только с диска (что непонравилось бы «Майкрософт») и предусмотрели автоматическую перезагрузкусистемы через 24 часа после начала работы.
Перечислимнекоторые наиболее интересные утилиты, входящие в ERD Commander:
— утилита, восстанавливающая стертые файлы, — FileRestore
— утилита, меняющая пароль любым учетным записям, — Locksmith
— дисковый менеджер Disk Commander
— утилита командной строки Command Prompt
— настройка свойств протокола TCP/IP — TCP/IP Configuration
— совместный доступ к файлам и папкам — File Sharing
Ещеодна полезная возможность, доступная при загрузке с этого диска, — изменениеправ доступа к каталогам, которое можно сделать прямо на вкладке свойств папки.
ERDComputer Management
Однаиз наиболее часто встречающихся проблем в Windows — проблема неправильноустановленных драйверов или (что бывает несколько реже) служб. И в том и вдругом случае неправильно установленные программы не позволят системезагружаться. Для устранения этой беды, а также некоторых других проблем, в ERDCommander'е предусмотрена специальная утилита — ERD Commander 2003 ComputerManagement.
Повнешнему виду Computer Management напоминает одноименную оснастку консолиуправления Microsoft (Microsoft Management Console, MMC). Отличие состоит втом, что ERD Commander Computer Management не позволит вам создавать новыхлокальных пользователей или групп пользователей, проводить дефрагментациюжесткого диска и что самое важное, настраивать режимы работы оборудования(выделяемые аппаратуре IRQ, каналы DMA и т.д.). Зато он обладает некоторымидругими возможностями, которые не реализованы стандартной оснасткой MMC.Например, управлять режимом загрузки драйверов с ее помощью у вас не получится,а в ERD Commander'е — это делается легко: в левой части окна выбираете Serviceand Driver Manager, затем в выпадающем списке пункт Drivers. И вот в правойчасти окна перед вами всеобъемлющий список загружаемых драйверов с их краткимописанием и режимом загрузки (Boot, System, Automatic, Manual или Disabled). Ксожалению, описания есть далеко не у всех драйверов, зато вы всегда сможетепосмотреть, где располагается файл драйвера и какое он имеет имя.
Аналогичноможно настраивать и запускаемые сервисы, разве что опций у вас будет всего три(Automatic, Manual и Disabled). Однако по сравнению со стандартными средствамиWindows ERD Commander несколько проигрывает, так как не позволяет узнатьвзаимозависимости сервисов. Вполне может сложиться ситуация, когда отключиводну службу, вы не позволите запуститься еще двум-трем другим, которым длясвоей работы необходима первая. Так, например, если вы решите отключить службуудаленного вызова процедур (Remote Procedure Call, RPC), то, скорее всего,система после этого не загрузится, а если и загрузится — нормальнофункционировать не сможет, поскольку от RPC зависит работа как минимум ещедесятка-другого служб.
Ещеодна важная возможность, которую предоставляет ERD Computer Management, — этоутилита просмотра журнала событий — Event Viewer. Конечно, восстановитьработоспособность компьютера она не поможет, но вот проанализировать, что жепроизошло с вашей системой, — безусловно. Очень часто она помогает решить ужеописанную нами проблему какой-либо аппаратной неисправности или ошибкидрайверов. Именно Event Viewer позволяет вам выяснить конкретного виновникаваших бед, которого в дальнейшем придется нейтрализовывать с помощью Service andDriver Manager'а. Как и стандартный Event Viewer'а Windows, она позволяетпросматривать три журнала событий: журнал приложений, журнал безопасности ижурнал системы, а также использовать фильтры. Вообще отличия между этими двумяутилитами минимальны, поэтому, если вы когда-либо работали с Event Viewer'ом вWindows, проделать это в ERD Commander'е вам не составит труда.
Ну,и последняя полезная утилита, входящая в ERD Computer Management, — это DiskManagement. Она позволяет форматировать диски под файловую систему NTFS, FATили FAT32, кроме того, она позволит вам создавать или удалять разделы надисках, а также выбирать активный раздел. По своим возможностям ERD DiskManagement практически идентична одноименной оснастке MMC, поэтому подробноописывать эту утилиту мы не станем.
ERDDisk Commander
Авот сходная по названию, но не имеющая аналогов в стандартном инструментарииWindows программа Disk Commander, скорее всего, привлечет ваш интерес. Онапредназначена для восстановления разделов, динамических томов и загрузочныхзаписей. Помните, когда-то давно была такая программа UnFormat? Так вот, DiskCommander преследует те же цели, только делает это гораздо лучше, надежней ибыстрее. Кроме восстановления поврежденной файловой системы, Disk Commanderможно использовать и для воскрешения стертых файлов, а также для чтения файловс поврежденных (или даже удаленных) логических дисков.
Следуетзаметить, что Disk Commander позволяет восстановить поврежденный диск (илиданные с него) даже в том случае, когда тот был удален с помощью программ вродеFDisk или оснастки «Disk Management». Для облегчения работ повосстановлению каждое действие выполняется с помощью соответствующего мастера.При восстановлении файлов можно попробовать просто выбрать нужные из списка ископировать их куда-нибудь, где есть свободное место, или даже попытатьсявосстановить прежнюю структуру каталогов.
Дляпроверки целостности диска и наличия ошибок на нем можно использовать старыйдобрый chkdsk с соответствующими ключами:
chkdsk [/F] [/X] [/R] [drive:]
/Fавтоматическое исправление ошибок на диске
/Xвначале будет проверено, что том никуда не примонтирован, если примонтирован,то будет отмонтирован
/Rвосстановление bad-секторов
ERDFileRestore
Оченьчасто пользователи предпочитают при поломке ОС не восстанавливать ее, аустановить заново, т. к. это может сберечь много времени и нервов. Единственныйнедостаток такого подхода — все настройки безвозвратно исчезнут. Гораздо хуже,если в результате аварии вы рискуете потерять важную информацию. Для восстановленияданных с «мертвых» систем предназначена специальная утилита сговорящим самим за себя названием FileRestore. Грубо говоря, FileRestore можноназвать аналогом древней программы UnErase, которая работала еще во временаDOS. Конечно, сейчас восстановление файлов можно было бы доверить и DiskCommander'у, однако FileRestore сделает это гораздо быстрее!
Пожалуй,единственное отличие данной программы от похожих утилит других разработчиков — автоматическое определение возможности восстановления удаленных файлов. Крометого, FileRestore использует дополнительные критерии для поиска: дату удаления,размер и тип файла и т.д. Если в системе до этого удалялось очень много файлов,подобные критерии сужения поиска очень помогают, ведь вам уже не приходится искатьнужный файл среди сотни других. Помимо этих достоинств можно упомянуть еще одно- программа позволяет искать удаленные файлы не только в существующихдиректориях, но и в существовавших когда-то (то есть удаленных).
ERDLocksmith
Довольночасто возникает необходимость войти в какую-нибудь систему под управлениемWindows, а пароля вы, к сожалению, не знаете. Если в 9х-системах эта проблемарешается довольно легко, то в Windows 2000, XP, 2003 проделать такой фокусгораздо сложнее. Чтобы облегчить сей процесс, в ERD Commander имеется утилитаLocksmith.
Сее помощью можно легко поменять пароль любой учетной записи. Единственноеограничение — новый пароль должен удовлетворять политике безопасности,примененной в системе, если таковая имелась (то есть быть длиннее n-ногоколичества символов, содержать цифры и т.д. и т.п.). После изменения паролянужно просто перезагрузить систему и войти в нее уже без использования диска сERD Commander'ом. К сожалению, у утилиты могут возникнуть трудности, если имяучетной записи содержит русские буквы.
ERDRegedit
Конечноже, спектр возможностей ERD Commander'а не был бы полным, если бы в немотсутствовало средство редактирования реестра. Известно, что большинствовирусов, червей и троянских коней заражают компьютер, используя реестр. Чащевсего они прописывают себя в ключи HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce,чтобы автоматически стартовать при загрузке ОС. Иногда это может приводить ккраху системы. В таком случае удалить ненужные ключи реестра поможет вам ERDRegedit.
Изрисунка видно, что в ERD Regedit вам доступны всего два куста реестра — HKEY_LOCAL_MACHINE и HKEY_CLASSES_ROOT. Кусты HKEY_CURRENT_CONFIG, а такжеHKEY_CURRENT_USER вам недоступны, и этому есть весьма простое объяснение. Этикусты реестра создаются в момент загрузки Windows и уничтожаются при выключениикомпьютера.
Затос помощью ERD Regedit вы сможете пробраться в святая святых Windows — SecurityAccounts Manager (SAM) — специальную централизованную базу данных, в которойхранится вся информация об учетных записях и группах (включая пароли). В базеданных SAM каждый пользователь и каждая группа, а также каждый компьютеридентифицируется уникальным идентификатором безопасности SID (SecurityIdentifier). Используя путь HKEY_LOCAL_MACHINESAM, можно получить доступ кинформации о локальных учетных записях и группах (например, паролях,определениях групп и сопоставлениях с доменами), используя же путьHKEY_LOCAL_MACHINESECURITY, вы получите доступ к данным, которые относятся кобщесистемным политикам безопасности, а также к сведениям о правах, назначенныхпользователям.
Средства мониторинга
Первое- это утилита TCPView, она позволяет в режиме реального времени следить запередаваемыми хостом (или хосту) пакетами TCP/IP или дейтаграммами UDP. Весьмаудобная утилита, позволяющая контролировать сетевую активность ЛЮБОГОкомпьютера в сети (необходимо только установить на этот компьютер сервернуюкомпоненту TCPView). При этом отмечается не только сам факт приема или передачипакетов, но также можно посмотреть, какой конкретно процесс установилсоединение, в каком состоянии находится сокет (прослушивание, соединен), адресаотправителя и получателя, количество переданных данных. Если у вас нетфаервола, то с помощью этой программки можно проверять, не завелся ли в чревелюбимого ПК вредоносный вирус; еще более полезной она окажется для сетевыхпрограммистов, ведущих отладку своих приложений.
Ещедве утилиты — Regmon и Filemon — позволяют, соответственно, следить заобращениями процессов к реестру и файловой системе. Обе весьма практичны виспользовании, и если вам захотелось, например, проследить, к каким файламобращается программа или как она работает с реестром, это не составит труда сделать.Также как и TCPView, эти утилиты позволяют вести мониторинг удаленныхкомпьютеров через сеть. Так же у всех есть удобные фильтры, с помощью которыхнесложно управлять выборкой данных. Зачем нужны эти фильтры, становитсяпонятным, если запустить какой-нибудь из мониторов. На среднестатистическом ПКза пять-десять минут работы происходит несколько десятков тысяч обращений креестру и почти столько же — к файловой системе.
Понятно,что разобраться в таких логах без их предварительной фильтрации будет практическиневозможно. Принцип фильтрации очень прост: программа-монитор можетавтоматически включать (Include), исключать (Exclude) или подсвечивать(Highlight) в логах те запросы, которые удовлетворяют указанным условиям.Условиями могут быть встречающиеся в логах строки (например, open) или ихсочетания с простейшими регулярными выражениями. Вот пример фильтра, которыйоставляет все запросы на открытие файлов и подсвечивает те, которые былиоткрыты в каталоге с:temp
Include open
Exclude (ничего не пишем)
Highlightc:temp*
Список литературы
Дляподготовки данной работы были использованы материалы с сайта mdforum.dynu.com