Wintermals Administrator's Pak
Каждый системный администратор прекрасно знает, что существует вполне определенный набор типовых задач, решать которые приходится постоянно, изо дня в день. Однако рано или поздно приходится встречаться с такими ситуациями, когда и проверенные временем приемы не срабатывают, и привычные утилиты ничем помочь не могут. Вот тогда-то и приходится искать что-то новое.
Наш сегодняшний рассказ - о наборе утилит, которые помогают решать весьма специфические задачи - Winternals Administrator's Pak 4.1. Инструменты, входящие в Winternals Administrator's Pak, помогут вам реанимировать Windows-системы, базирующиеся на ядре NT (имеются в виду Windows NT 4.0, 2000, XP и Server 2003), в разного рода безнадежных ситуациях, предоставив вам доступ к NTFS-разделам из-под DOS'а или из собственной оболочки - ERD Commander 2003. Кстати, ERD-Commander - это своего рода изюминка компании Winternals - самая мощная и самая полезная утилита из всего набора. Не лишним будет сказать, что ERD-Commander создавался при непосредственном участии Марка Руссиновича - одного из известнейших специалистов по "внутренностям" Windows, соавтора книги "Inside for MS Windows 2000". Но обо всем по порядку.
Всего в состав Wintermals Administrator's Pak входят 6 утилит, причем 3 из них относятся к программам мониторинга системы.
Установка ERD Commander 2003
Установка ERD Commander'а потребует нескольких дополнительных усилий. Первое, что потребуется сделать уже после того как Administrator's Pak приобретет прописку на жестком диске вашего компьютера, - это создать образ загрузочного диска с ERD Commander'ом. Для этого достаточно запустить специальный Wizard, который поможет вам пройти через все трудности, связанные с созданием загрузочного CD-диска.
Естественно, как и любая уважающая себя ОС, ERD Commander позволяет выбирать те компоненты, которые будут доступны во время ее работы. Поскольку в полной "боевой комплектации" получившаяся оболочка займет на диске всего 135 мегабайт, советуем вам не жадничать и включить все возможные компоненты - кто знает, какой из инструментов может вам понадобиться в экстремальной ситуации.
Понятно также, что ERD Commander - это очень мощное средство, которое в неумелых руках может поломать всю систему, поэтому, если вы не хотите, чтобы кто-то без вашего ведома, втихую, скажем, поменял пароль администратора, то позаботьтесь об этом заранее - "запарольте" созданный вами загрузочный диск!
Ну все, будем считать, что вы справились со всеми трудностями создания образа (при необходимости включили в образ дополнительные драйверы для поддержки SCSI-дисков, а также те программы и утилиты, которые вы хотите иметь под рукой на случай реанимации Windows), и теперь вам необходимо лишь перенести этот образ на диск. Для этого вам потребуются специальные программы, записывающие СD- или DVD-диски и поддерживающие считывание формата создаваемого диска из файла образа, например, Roxio Easy CD & DVD Creator 6 или Nero Burning Rom 6. Обратите внимание, что вы не сможете записать диск с помощью встроенных в Windows XP средств, поскольку они не позволяют создавать загрузочные диски из файла образа, использование же более ранних версий Nero Burning Rom и Roxio Easy CD также нежелательно, поскольку в этом случае вам придется "угадывать" формат загрузочного диска! Запись же загрузочного CD с ERD Commander'ом с помощью Nero Burning Rom 6 - тривиальная операция, которая не требовала бы даже отдельного упоминания в статье, если бы эта проблема так часто не возникала у пользователей Administrator's Pak.
Итак, просто выберите в меню Nero Burning Rom пункт Recorder и опцию Burn Image, затем укажите расположение файла с образом.
В результате на CD-диск должны быть перенесены следующие файлы и папки:
- Documents and Setting
- I386
- Bootsect.bin
- License.txt
- WIN51
- WIN51IP
- win51ip.SP1
- winbom.ini
Знакомство с ERD Commander 2003
Как уже говорилось, ERD Commander - это главная "фича" Winternals Administrator's Pak, поэтому в этой статье речь пойдет в основном о нем. Основная задача Commander'а - предоставить пользователям по возможности полный доступ к "мертвым системам" с помощью знакомого и привычного интерфейса в стиле Windows. С этой программой вам, прежде всего, станут доступны все поддерживаемые Windows файловые системы, включая различные варианты FAT, NTFS и CDFS. Кроме того, ERD Commander содержит утилиты, позволяющие редактировать реестр, изменять список загружаемых драйверов и служб, изменять пароли встроенных учетных записей (включая даже пароль администратора), а также некоторые более привычные программы.
С первого взгляда ERD Commander невозможно отличить от Windows XP: все та же традиционная иконка My Computer, та же кнопка Start, даже окошки, и те - почти такие же. Но если присмотреться повнимательней, разница становится вполне очевидной. Во-первых, набор утилит в меню Start совсем другой, да и стандартных возможностей у такой "Windows с компакт-диска" гораздо меньше, чем у нормально функционирующей ОС. Зато утилит для восстановления системы - более чем достаточно. Кроме того, разработчики ERD Commander'а специально позаботились о том, чтобы у пользователей не возникло нездорового желания совсем удалить свою Windows и дальше работать только с диска (что не понравилось бы "Майкрософт") и предусмотрели автоматическую перезагрузку системы через 24 часа после начала работы.
Перечислим некоторые наиболее интересные утилиты, входящие в ERD Commander:
- утилита, восстанавливающая стертые файлы, - FileRestore
- утилита, меняющая пароль любым учетным записям, - Locksmith
- дисковый менеджер Disk Commander
- утилита командной строки Command Prompt
- настройка свойств протокола TCP/IP - TCP/IP Configuration
- совместный доступ к файлам и папкам - File Sharing
Еще одна полезная возможность, доступная при загрузке с этого диска, - изменение прав доступа к каталогам, которое можно сделать прямо на вкладке свойств папки.
ERD Computer Management
Одна из наиболее часто встречающихся проблем в Windows - проблема неправильно установленных драйверов или (что бывает несколько реже) служб. И в том и в другом случае неправильно установленные программы не позволят системе загружаться. Для устранения этой беды, а также некоторых других проблем, в ERD Commander'е предусмотрена специальная утилита - ERD Commander 2003 Computer Management.
По внешнему виду Computer Management напоминает одноименную оснастку консоли управления Microsoft (Microsoft Management Console, MMC). Отличие состоит в том, что ERD Commander Computer Management не позволит вам создавать новых локальных пользователей или групп пользователей, проводить дефрагментацию жесткого диска и что самое важное, настраивать режимы работы оборудования (выделяемые аппаратуре IRQ, каналы DMA и т.д.). Зато он обладает некоторыми другими возможностями, которые не реализованы стандартной оснасткой MMC. Например, управлять режимом загрузки драйверов с ее помощью у вас не получится, а в ERD Commander'е - это делается легко: в левой части окна выбираете Service and Driver Manager, затем в выпадающем списке пункт Drivers. И вот в правой части окна перед вами всеобъемлющий список загружаемых драйверов с их кратким описанием и режимом загрузки (Boot, System, Automatic, Manual или Disabled). К сожалению, описания есть далеко не у всех драйверов, зато вы всегда сможете посмотреть, где располагается файл драйвера и какое он имеет имя.
Аналогично можно настраивать и запускаемые сервисы, разве что опций у вас будет всего три (Automatic, Manual и Disabled). Однако по сравнению со стандартными средствами Windows ERD Commander несколько проигрывает, так как не позволяет узнать взаимозависимости сервисов. Вполне может сложиться ситуация, когда отключив одну службу, вы не позволите запуститься еще двум-трем другим, которым для своей работы необходима первая. Так, например, если вы решите отключить службу удаленного вызова процедур (Remote Procedure Call, RPC), то, скорее всего, система после этого не загрузится, а если и загрузится - нормально функционировать не сможет, поскольку от RPC зависит работа как минимум еще десятка-другого служб.
Еще одна важная возможность, которую предоставляет ERD Computer Management, - это утилита просмотра журнала событий - Event Viewer. Конечно, восстановить работоспособность компьютера она не поможет, но вот проанализировать, что же произошло с вашей системой, - безусловно. Очень часто она помогает решить уже описанную нами проблему какой-либо аппаратной неисправности или ошибки драйверов. Именно Event Viewer позволяет вам выяснить конкретного виновника ваших бед, которого в дальнейшем придется нейтрализовывать с помощью Service and Driver Manager'а. Как и стандартный Event Viewer'а Windows, она позволяет просматривать три журнала событий: журнал приложений, журнал безопасности и журнал системы, а также использовать фильтры. Вообще отличия между этими двумя утилитами минимальны, поэтому, если вы когда-либо работали с Event Viewer'ом в Windows, проделать это в ERD Commander'е вам не составит труда.
Ну, и последняя полезная утилита, входящая в ERD Computer Management, - это Disk Management. Она позволяет форматировать диски под файловую систему NTFS, FAT или FAT32, кроме того, она позволит вам создавать или удалять разделы на дисках, а также выбирать активный раздел. По своим возможностям ERD Disk Management практически идентична одноименной оснастке MMC, поэтому подробно описывать эту утилиту мы не станем.
ERD Disk Commander
А вот сходная по названию, но не имеющая аналогов в стандартном инструментарии Windows программа Disk Commander, скорее всего, привлечет ваш интерес. Она предназначена для восстановления разделов, динамических томов и загрузочных записей. Помните, когда-то давно была такая программа UnFormat? Так вот, Disk Commander преследует те же цели, только делает это гораздо лучше, надежней и быстрее. Кроме восстановления поврежденной файловой системы, Disk Commander можно использовать и для воскрешения стертых файлов, а также для чтения файлов с поврежденных (или даже удаленных) логических дисков.
Следует заметить, что Disk Commander позволяет восстановить поврежденный диск (или данные с него) даже в том случае, когда тот был удален с помощью программ вроде FDisk или оснастки "Disk Management". Для облегчения работ по восстановлению каждое действие выполняется с помощью соответствующего мастера. При восстановлении файлов можно попробовать просто выбрать нужные из списка и скопировать их куда-нибудь, где есть свободное место, или даже попытаться восстановить прежнюю структуру каталогов.
Для проверки целостности диска и наличия ошибок на нем можно использовать старый добрый chkdsk с соответствующими ключами:
chkdsk [/F] [/X] [/R] [drive:]
/F автоматическое исправление ошибок на диске
/X вначале будет проверено, что том никуда не примонтирован, если примонтирован, то будет отмонтирован
/R восстановление bad-секторов
ERD FileRestore
Очень часто пользователи предпочитают при поломке ОС не восстанавливать ее, а установить заново, т. к. это может сберечь много времени и нервов. Единственный недостаток такого подхода - все настройки безвозвратно исчезнут. Гораздо хуже, если в результате аварии вы рискуете потерять важную информацию. Для восстановления данных с "мертвых" систем предназначена специальная утилита с говорящим самим за себя названием FileRestore. Грубо говоря, FileRestore можно назвать аналогом древней программы UnErase, которая работала еще во времена DOS. Конечно, сейчас восстановление файлов можно было бы доверить и Disk Commander'у, однако FileRestore сделает это гораздо быстрее!
Пожалуй, единственное отличие данной программы от похожих утилит других разработчиков - автоматическое определение возможности восстановления удаленных файлов. Кроме того, FileRestore использует дополнительные критерии для поиска: дату удаления, размер и тип файла и т.д. Если в системе до этого удалялось очень много файлов, подобные критерии сужения поиска очень помогают, ведь вам уже не приходится искать нужный файл среди сотни других. Помимо этих достоинств можно упомянуть еще одно - программа позволяет искать удаленные файлы не только в существующих директориях, но и в существовавших когда-то (то есть удаленных).
ERD Locksmith
Довольно часто возникает необходимость войти в какую-нибудь систему под управлением Windows, а пароля вы, к сожалению, не знаете. Если в 9х-системах эта проблема решается довольно легко, то в Windows 2000, XP, 2003 проделать такой фокус гораздо сложнее. Чтобы облегчить сей процесс, в ERD Commander имеется утилита Locksmith.
С ее помощью можно легко поменять пароль любой учетной записи. Единственное ограничение - новый пароль должен удовлетворять политике безопасности, примененной в системе, если таковая имелась (то есть быть длиннее n-ного количества символов, содержать цифры и т.д. и т.п.). После изменения пароля нужно просто перезагрузить систему и войти в нее уже без использования диска с ERD Commander'ом. К сожалению, у утилиты могут возникнуть трудности, если имя учетной записи содержит русские буквы.
ERD Regedit
Конечно же, спектр возможностей ERD Commander'а не был бы полным, если бы в нем отсутствовало средство редактирования реестра. Известно, что большинство вирусов, червей и троянских коней заражают компьютер, используя реестр. Чаще всего они прописывают себя в ключи HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce, чтобы автоматически стартовать при загрузке ОС. Иногда это может приводить к краху системы. В таком случае удалить ненужные ключи реестра поможет вам ERD Regedit.
Из рисунка видно, что в ERD Regedit вам доступны всего два куста реестра - HKEY_LOCAL_MACHINE и HKEY_CLASSES_ROOT. Кусты HKEY_CURRENT_CONFIG, а также HKEY_CURRENT_USER вам недоступны, и этому есть весьма простое объяснение. Эти кусты реестра создаются в момент загрузки Windows и уничтожаются при выключении компьютера.
Зато с помощью ERD Regedit вы сможете пробраться в святая святых Windows - Security Accounts Manager (SAM) - специальную централизованную базу данных, в которой хранится вся информация об учетных записях и группах (включая пароли). В базе данных SAM каждый пользователь и каждая группа, а также каждый компьютер идентифицируется уникальным идентификатором безопасности SID (Security Identifier). Используя путь HKEY_LOCAL_MACHINESAM, можно получить доступ к информации о локальных учетных записях и группах (например, паролях, определениях групп и сопоставлениях с доменами), используя же путь HKEY_LOCAL_MACHINESECURITY, вы получите доступ к данным, которые относятся к общесистемным политикам безопасности, а также к сведениям о правах, назначенных пользователям.
Средства мониторинга
Первое - это утилита TCPView, она позволяет в режиме реального времени следить за передаваемыми хостом (или хосту) пакетами TCP/IP или дейтаграммами UDP. Весьма удобная утилита, позволяющая контролировать сетевую активность ЛЮБОГО компьютера в сети (необходимо только установить на этот компьютер серверную компоненту TCPView). При этом отмечается не только сам факт приема или передачи пакетов, но также можно посмотреть, какой конкретно процесс установил соединение, в каком состоянии находится сокет (прослушивание, соединен), адреса отправителя и получателя, количество переданных данных. Если у вас нет фаервола, то с помощью этой программки можно проверять, не завелся ли в чреве любимого ПК вредоносный вирус; еще более полезной она окажется для сетевых программистов, ведущих отладку своих приложений.
Еще две утилиты - Regmon и Filemon - позволяют, соответственно, следить за обращениями процессов к реестру и файловой системе. Обе весьма практичны в использовании, и если вам захотелось, например, проследить, к каким файлам обращается программа или как она работает с реестром, это не составит труда сделать. Также как и TCPView, эти утилиты позволяют вести мониторинг удаленных компьютеров через сеть. Так же у всех есть удобные фильтры, с помощью которых несложно управлять выборкой данных. Зачем нужны эти фильтры, становится понятным, если запустить какой-нибудь из мониторов. На среднестатистическом ПК за пять-десять минут работы происходит несколько десятков тысяч обращений к реестру и почти столько же - к файловой системе.
Понятно, что разобраться в таких логах без их предварительной фильтрации будет практически невозможно. Принцип фильтрации очень прост: программа-монитор может автоматически включать (Include), исключать (Exclude) или подсвечивать (Highlight) в логах те запросы, которые удовлетворяют указанным условиям. Условиями могут быть встречающиеся в логах строки (например, open) или их сочетания с простейшими регулярными выражениями. Вот пример фильтра, который оставляет все запросы на открытие файлов и подсвечивает те, которые были открыты в каталоге с:temp
Include open
Exclude (ничего не пишем)
Highlight c:temp*
Список литературы
Для подготовки данной работы были использованы материалы с сайта http://mdforum.dynu.com