Wintermals
Administrator's Pak h2>
Кожен
системний адміністратор прекрасно знає, що існує цілком певний
набір типових завдань, які доводиться вирішувати постійно, день у день.
Проте рано чи пізно доводиться зустрічатися з такими ситуаціями, коли і
перевірені часом прийоми не спрацьовують, і звичні утиліти нічим допомогти не
можуть. Ось тоді-то і доводиться шукати щось нове. P>
Наш
сьогоднішня розповідь - про набір утиліт, які допомагають вирішувати вельми
специфічні завдання - Winternals Administrator's Pak 4.1. Інструменти,
що входять до Winternals Administrator's Pak, допоможуть вам реанімувати
Windows-системи, що базуються на ядрі NT (маються на увазі Windows NT 4.0, 2000,
XP і Server 2003), в різного роду безнадійних ситуаціях, надавши вам доступ
до NTFS-розділам з-під DOS'а або з власної оболонки - ERD Commander 2003.
До речі, ERD-Commander - це свого роду родзинка компанії Winternals - сама
потужна і сама корисна утиліта з усього набору. Не зайвим буде сказати, що
ERD-Commander створювався за безпосередньої участі Марка Руссіновіча --
одного з найвідоміших фахівців з "нутрощами" Windows,
співавтора книги "Inside for MS Windows 2000". Але про все по порядку. P>
Всього
до складу Wintermals Administrator's Pak входять 6 утиліт, причому 3 з них
відносяться до програм контролю за системою. p>
Установка ERD Commander 2003 h2>
Установка
ERD Commander'а зажадає декількох додаткових зусиль. Перше, що
буде потрібно зробити вже після того, як Administrator's Pak придбає прописку
на жорсткому диску вашого комп'ютера, - це створити образ завантажувального диска з
ERD Commander'ом. Для цього достатньо запустити спеціальний Wizard, який
допоможе вам пройти через усі труднощі, пов'язані зі створенням завантажувального
CD-диски. p>
Природно,
як і будь-яка поважає себе, ОС, ERD Commander дозволяє вибирати ті компоненти,
які будуть доступні під час її роботи. Оскільки в повній "бойовій
комплектації "вийшла оболонка займе на диску всього 135 мегабайт,
радимо вам не скупитися і включити всі можливі компоненти - хто знає,
який з інструментів може вам знадобитися в екстремальній ситуації. p>
Зрозуміло
також, що ERD Commander - це дуже потужний засіб, що в невмілих руках
може поламати всю систему, тому, якщо ви не хочете, щоб хто-то без вашого
відома, нишком, скажімо, поміняв пароль адміністратора, то подбайте про це
заздалегідь - "запарольте" створений вами завантажувальний диск! p>
Ну
все, будемо вважати, що ви впоралися з усіма труднощами створення образу (при
необхідності включили в образ додаткові драйвери для підтримки
SCSI-дисків, а також ті програми і програми які ви хочете мати під рукою
на випадок реанімації Windows), і тепер вам необхідно лише перенести це
образ на диск. Для цього вам будуть потрібні спеціальні програми, що записують
СD-або DVD-диски і підтримують зчитування формату створюваного диска з
файлу образу, наприклад, Roxio Easy CD & DVD Creator 6 або Nero Burning Rom
6. Зверніть увагу, що ви не зможете записати диск за допомогою вбудованих в
Windows XP коштів, оскільки вони не дозволяють створювати завантажувальні диски з
файлу образу, використання ж більш ранніх версій Nero Burning Rom і Roxio
Easy CD також небажано, оскільки в цьому випадку вам доведеться
"вгадувати" формат завантажувального диска! Запис ж завантажувального CD з
ERD Commander'ом за допомогою Nero Burning Rom 6 - тривіальна операція, яка
не вимагала б навіть окремої згадки у статті, якщо б ця проблема так
часто не виникала у користувачів Administrator's Pak. p>
Отже,
просто виберіть у меню Nero Burning Rom пункт Recorder і опцію Burn Image,
потім вкажіть розташування файлу з образом. p>
В
результаті на CD-диск повинні бути перенесені такі файли і папки: p>
- Documents and Setting p>
- I386 p>
- Bootsect.bin p>
- License.txt p>
- WIN51 p>
- WIN51IP p>
- win51ip.SP1 p>
--
winbom.ini p>
Знайомство
з ERD Commander 2003 p>
Як
вже говорилося, ERD Commander - це головна "фича" Winternals
Administrator's Pak, тому в цій статті мова піде в основному про нього.
Основне завдання Commander'а - надати користувачам по можливості повного
доступ до "мертвим систем" за допомогою знайомого і звичного
інтерфейсу в стилі Windows. З цією програмою вам, перш за все, стануть
доступні всі підтримувані Windows файлові системи, включаючи різні
варіанти FAT, NTFS і CDFS. Крім того, ERD Commander містить утиліти,
дозволяють редагувати реєстр, редагувати список завантажуваних драйверів і
служб, змінювати паролі вбудованих облікових записів (включаючи навіть пароль
адміністратора), а також деякі більш звичні програми. p>
З
першого погляду ERD Commander неможливо відрізнити від Windows XP: все та ж
традиційна іконка My Computer, та ж кнопка Start, навіть віконця, і ті - майже
такі ж. Але якщо придивитися уважніше, різниця стає цілком
очевидною. По-перше, набір утиліт в меню Start зовсім інший, та й стандартних
можливостей у такої "Windows з компакт-диска" набагато менше, ніж у
нормально функціонуючої ОС. Зате утиліт для відновлення системи - більше
ніж достатньо. Крім того, розробники ERD Commander'а спеціально
подбали про те, щоб у користувачів не виникло нездорового бажання
зовсім видалити свою Windows і далі працювати тільки з диска (що не
сподобалося б "Майкрософт") і передбачили автоматичне перезавантаження
системи через 24 години після початку роботи. p>
Перерахуємо
деякі найбільш цікаві утиліти, що входять в ERD Commander: p>
--
утиліта, що відновлює стерті файли, - FileRestore p>
--
утиліта, що змінює пароль будь-яким облікових записів, - Locksmith p>
--
дисковий менеджер Disk Commander p>
--
утиліта командного рядка Command Prompt p>
--
налаштування властивостей протоколу TCP/IP - TCP/IP Configuration p>
--
спільний доступ до файлів і папок - File Sharing p>
Ще
одна корисна можливість, доступна при завантаженні з цього диску, - зміна
прав доступу до каталогів, яке можна зробити прямо на вкладці властивостей папки. p>
ERD
Computer Management p>
Одна
з найбільш часто зустрічаються проблем в Windows - проблема неправильно
встановлених драйверів або (що буває дещо рідше) служб. І в тому і в
іншому випадку неправильно встановлені програми не дозволять системі
завантажуватися. Для усунення цього лиха, а також деяких інших проблем, ERD
Commander'е передбачена спеціальна утиліта - ERD Commander 2003 Computer
Management. P>
За
зовнішнім виглядом Computer Management нагадує однойменну оснащення консолі
управління Microsoft (Microsoft Management Console, MMC). Відмінність полягає в
те, що ERD Commander Computer Management не дозволить вам створювати нових
локальних користувачів або груп користувачів, проводити дефрагментацію
жорсткого диска і що найважливіше, налаштовувати режими роботи устаткування
(виділяються апаратурі IRQ, канали DMA і т.д.). Зате він має деякі
іншими можливостями, які не реалізовані стандартної оснащенням MMC.
Наприклад, керувати режимом завантаження драйверів з її допомогою у вас не вийде,
а в ERD Commander'е - це робиться легко: у лівій частині вікна обираєте Service
and Driver Manager, потім у випадаючому списку пункт Drivers. І ось в правій
частині вікна перед вами всеосяжний список завантажуваних драйверів з їх коротким
описом і режимом завантаження (Boot, System, Automatic, Manual або Disabled). До
жаль, описи є далеко не у всіх драйверів, зате ви завжди зможете
подивитися, де розташовується файл драйвера і яке він має ім'я. p>
Аналогічно
можна налаштовувати і запускаються сервіси, хіба що опцій у вас буде всього три
(Automatic, Manual і Disabled). Однак у порівнянні зі стандартними засобами
Windows ERD Commander дещо програє, тому що не дозволяє дізнатися
взаємозалежності сервісів. Цілком може скластися ситуація, коли відключивши
одну службу, ви не дозволите запуститися ще двом-трьом іншим, яким для
своєї роботи необхідна першим. Так, наприклад, якщо ви вирішите відключити службу
віддаленого виклику процедур (Remote Procedure Call, RPC), то, швидше за все,
система після цього не завантажиться, а якщо і завантажиться - нормально
функціонувати не зможе, оскільки від RPC залежить робота як мінімум ще
десятка-другого служб. p>
Ще
одна важлива можливість, яку надає ERD Computer Management, - це
утиліта перегляду журналу подій - Event Viewer. Звичайно, відновити
працездатність комп'ютера вона не допоможе, але ось проаналізувати, що ж
сталося з вашою системою, - безумовно. Дуже часто вона допомагає вирішити вже
описану нами проблему будь-якої апаратної несправності або помилки
драйверів. Саме Event Viewer дозволяє вам з'ясувати конкретного винуватця
ваших бід, якого надалі доведеться нейтралізувати за допомогою Service and
Driver manager'а. Як і стандартний Event Viewer'а Windows, вона дозволяє
переглядати три журналу подій: журнал додатків, журнал безпеки і
журнал системи, а також використовувати фільтри. Взагалі відмінності між цими двома
утилітами мінімальні, тому, якщо ви коли-небудь працювали з Event Viewer'ом в
Windows, виконати це в ERD Commander'е вам не складе труднощів. P>
Ну,
і остання корисна утиліта, що входить до ERD Computer Management, - це Disk
Management. Вона дозволяє форматувати диски під файлову систему NTFS, FAT
або FAT32, крім того, вона дозволить вам створювати або видаляти розділи на
дисках, а також вибирати активний розділ. За своїми можливостями ERD Disk
Management практично ідентична однойменної оснащенні MMC, тому докладно
описувати цю утиліту ми не станемо. p>
ERD
Disk Commander p>
А
ось схожа за назвою, але не має аналогів в стандартному інструментарії
Windows програма Disk Commander, швидше за все, приверне вашу цікавість. Вона
призначена для відновлення розділів, динамічних томів і завантажувальних
записів. Пам'ятаєте, колись давно була така програма UnFormat? Так ось, Disk
Commander має таку ж мету, тільки робить це набагато краще, надійніше і
швидше. Крім відновлення пошкодженої файлової системи, Disk Commander
можна використовувати і для воскресіння стертих файлів, а також для читання файлів
з пошкоджених (або навіть віддалених) логічних дисків. p>
Слід
помітити, що Disk Commander дозволяє відновити пошкоджений диск (або
дані з нього) навіть у тому випадку, коли той був вилучений за допомогою програм на зразок
FDisk або оснащення "Disk Management". Для полегшення робіт з
відновленню кожна дія виконується за допомогою відповідного майстра.
При відновленні файлів можна спробувати просто вибрати потрібні зі списку і
скопіювати їх куди-небудь, де є вільне місце, або навіть спробувати
відновити колишню структуру каталогів. p>
Для
перевірки цілісності диска і наявності помилок на ньому можна використовувати старий
добрий chkdsk з відповідними ключами: p>
chkdsk [/ F] [/ X] [/ R] [drive:] p>
/F
автоматичне виправлення помилок на диску p>
/X
спочатку буде перевірено, що тому нікуди не домонтували, якщо домонтували,
то буде _Відключити p>
/R
відновлення bad-секторів p>
ERD
FileRestore p>
Дуже
часто користувачі віддають перевагу при поломці ОС не відновлювати її, а
встановити заново, тому що це може зберегти багато часу і нервів. Єдиний
недолік такого підходу - всі налаштування безповоротно зникнуть. Набагато гірше,
якщо в результаті аварії ви ризикуєте втратити важливу інформацію. Для відновлення
даних з "мертвих" систем призначена спеціальна утиліта з
що говорить самим за себе назвою FileRestore. Грубо кажучи, FileRestore можна
назвати аналогом стародавньої програми UnErase, яка працювала ще за часів
DOS. Звичайно, нині відновлення файлів можна було б довірити і Disk
Commander'у, однак FileRestore зробить це набагато швидше! P>
Мабуть,
єдина відмінність цієї програми від схожих утиліт інших розробників --
автоматичне визначення можливості відновлення видалених файлів. Крім
того, FileRestore використовує додаткові критерії для пошуку: дату видалення,
розмір і тип файлу і т.д. Якщо в системі до цього приділялася дуже багато файлів,
такі критерії звуження пошуку дуже допомагають, адже вам вже не доводиться шукати
потрібний файл серед сотні інших. Крім цих переваг можна згадати ще одне
- Програма дозволяє шукати видалені файли не тільки в існуючих
директоріях, але і в що існували колись (тобто віддалених). p>
ERD
Locksmith p>
Досить
часто виникає необхідність увійти в яку-небудь систему під управлінням
Windows, а пароля ви, на жаль, не знаєте. Якщо у 9х-системах ця проблема
вирішується досить легко, то в Windows 2000, XP, 2003 виконати такий фокус
набагато складніше. Щоб полегшити цей процес, в ERD Commander є утиліта
Locksmith. P>
З
її допомогою можна легко поміняти пароль будь-якого облікового запису. Єдине
обмеження - новий пароль повинен задовольняти політики безпеки,
застосованої в системі, якщо така була (тобто бути довшим n-ного
кількості символів, містити цифри і т.д. і т.п.). Після зміни пароля
потрібно просто перезавантажити систему і ввійти в неї вже без використання диска з
ERD Commander'ом. На жаль, у утиліти можуть виникнути труднощі, якщо ім'я
облікового запису містить російські літери. p>
ERD
Regedit p>
Звичайно
ж, спектр можливостей ERD Commander'а не був би повним, якби в ньому
було відсутнє засіб редагування реєстру. Відомо, що більшість
вірусів, хробаків і троянських коней заражають комп'ютер, використовуючи реєстр. Найчастіше
за все вони прописують себе в ключі HKEY_LOCAL_MACHINESOFTWAREMicrosoft p>
WindowsCurrentVersionRun
p>
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce,
щоб автоматично стартувати при завантаженні ОС. Іноді це може призводити до
краху системи. У такому випадку видалити непотрібні ключі реєстру допоможе вам ERD
Regedit. p>
З
малюнка видно, що в ERD Regedit вам доступні всього два кущі реєстру --
HKEY_LOCAL_MACHINE і HKEY_CLASSES_ROOT. Кущі HKEY_CURRENT_CONFIG, а також
HKEY_CURRENT_USER вам недоступні, і цьому є дуже просте пояснення. Ці
кущі реєстру створюються в момент завантаження Windows і знищуються при виключенні
комп'ютера. p>
Зате
за допомогою ERD Regedit ви зможете пробратися в свята святих Windows - Security
Accounts Manager (SAM) - спеціальну централізовану базу даних, у якій
зберігається вся інформація про облікові записи і групах (включаючи паролі). У базі
даних SAM кожен користувач і кожна група, а також кожен комп'ютер
ідентифікується унікальним ідентифікатором безпеки SID (Security
Identifier). Використовуючи шлях HKEY_LOCAL_MACHINESAM, можна отримати доступ до
інформації про локальні облікові записи і групах (наприклад, паролі,
визначеннях груп і порівняннях з доменами), використовуючи же шлях
HKEY_LOCAL_MACHINESECURITY, ви отримаєте доступ до даних, які відносяться до
загальносистемних політикам безпеки, а також до інформації про права, призначених
користувачам. p>
Засоби моніторингу h2>
Перше
- Це утиліта TCPView, вона дозволяє в режимі реального часу стежити за
передаваними хостом (або хосту) пакетами TCP/IP або дейтаграмма UDP. Вельми
зручна утиліта, що дозволяє контролювати мережеву активність БУДЬ
комп'ютера в мережі (необхідно тільки встановити на цей комп'ютер серверну
компоненту TCPView). При цьому відзначається не тільки сам факт прийому або передачі
пакетів, а також можна подивитися, який конкретно процес встановив
з'єднання, в якому стані знаходиться сокет (прослуховування, з'єднаний), адреси
відправника та одержувача, кількість переданих даних. Якщо у вас немає
фаєрвол, то за допомогою цієї програмки можна перевіряти, чи не завівся чи в утробі
улюбленого ПК шкідливий вірус; ще більш корисною вона виявиться для мережевих
програмістів, провідних налагодження своїх додатків. p>
Ще
дві утиліти - Regmon і Filemon - дозволяють, відповідно, стежити за
зверненнями процесів до реєстру і файлової системи. Обидві дуже практичні в
використанні, і якщо вам захотілося, наприклад, простежити, до яких файлів
звертається програма або як вона працює з реєстром, це не важко зробити.
Також як і TCPView, ці утиліти дозволяють вести моніторинг віддалених
комп'ютерів через мережу. Так само у всіх є зручні фільтри, за допомогою яких
нескладно керувати вибіркою даних. Навіщо потрібні ці фільтри, стає
зрозумілим, якщо запустити який-небудь з моніторів. На середньостатистичному ПК
за п'ять-десять хвилин роботи відбувається кілька десятків тисяч звернень до
реєстром і майже стільки ж - до файлової системи. p>
Зрозуміло,
що розібратися в таких журналах без їх попередньої фільтрації буде практично
неможливо. Принцип фільтрації дуже простий: програма-монітор може
автоматично включати (Include), виключати (Exclude) або підсвічувати
(Highlight) в логах ті запити, які відповідають зазначеним умовам.
Умовами можуть бути зустрічаються в логах рядка (наприклад, open) або їх
поєднання з найпростішими регулярними виразами. Ось приклад фільтра, який
залишає всі запити на відкриття файлів і підсвічує ті, які були
відкриті в каталозі з: temp p>
Include open p>
Exclude (нічого не
пишемо) p>
Highlight
c: temp * p>
Список літератури h2>
Для
підготовки даної роботи були використані матеріали з сайту http://mdforum.dynu.com
p>