14 лет назад 17 августа 2004 в 4:18 148

Если XP отказывается загружаться, пользователи обычно прибегают к соответствующим встроенным средствам Windows. Их арсенал весьма небогат: Recovery Console да служба автоматического восстановления. Но есть средство гораздо мощнее и удобнее.

NTFS ИЗ-ПОД DOS — НЕ ВОПРОС
Если Windows не удается загрузить даже в режиме защиты от сбоев, прочитать данные с NTFS-разделов не так-то просто. Входящая в комплект от Winternals Administrator’s Pack утилита NTFSDOS Professional при использовании файл-менеджера вроде Volkov Commander позволяет получать удобный доступ из MS-DOS к любым папкам и файлам дисковых разделов с NTFS вне зависимости от прав доступа, назначенных в Windows.

При запуске NTFSDOS Pro монтирует ваши NTFS-разделы и, если есть возможность, присваивает им те же буквы, что были назначены в Windows. Главное – скопировать файлы NTFSDOS Pro на CD-R или на загрузочную дискету Windows 9x. Туда же следует поместить и файлы Volkov Commander. Но сначала запустите Boot Disk Wizard — этот мастер поможет создать необходимые файлы. В мастере вам предстоит сделать следующее.

– Указать кодировку, используемую в версии вашего MS-DOS. Поскольку наиболее распространена версия MS-DOS для США, в NTFSDOS Pro по умолчанию используется кодовая страница 437. Вам следует добавить русскую кодовую страницу (code page 866). Однако нужно иметь в виду, что это действие никоим образом не поможет вам прочитать в NTFS-разделах имена файлов, написанных русскими буквами. Дело в том, что для хранения имен файлов NTFS использует Unicode, а MS-DOS использует OEM-кодировку.

– Разыскать дистрибутив Windows 2000/XP/Server 2003 – Boot Disk Wizard нуждается в некоторых системных файлах.

– Выбрать директорию для установки NTFSDOS Pro. Это может быть либо загрузочная дискета, либо каталог на жестком диске. Полученный набор файлов NTFSDOS Pro можно скопировать и на загрузочный CD-R или использовать в качестве загрузчика дискету с MS-DOS и драйверами для CD-ROM. Кстати, если у вас нет под рукой дискеты Windows 9x, то скачать различные версии MS-DOS можно на сайте www.bootdisk.com. Но помните, что Winternals рекомендует использовать MS-DOS 7.0 (тот самый, который был в Windows 98).

После загрузки проблемного ПК и запуска файла ntfspro.exe (его запуск можно прописать в autoexec.bat) монтируются NTFS-разделы. В результате вы можете открыть Volkov Commander и работать с NTFS в обычном режиме: копировать документы на сменные носители, создавать и удалять каталоги, файлы, пользоваться командами MS-DOS. Это, в частности, неплохой способ без особых проблем создавать резервные копии файлов реестра и восстанавливать его при сбоях ОС.

Управлять работой программы можно, если при запуске к ntfspro.exe добавлять параметры командной строки. Например, ключ /L:<буква> заставит программу раздавать имена дискам начиная с заданной вами буквы. Полный список параметров приведен в документации. Кстати, разработчики NTFSDOS Pro предупреждают, что программа не умеет работать с зеркальными дисками (когда информация дублируется на другой диск).

Вторым компонентом NTFSDOS Pro является утилита NTFSCHK, предназначенная для проверки NTFS-разделов на наличие ошибок. Поскольку NTFS – достаточно сложная файловая система, после работы с ней из-под DOS рекомендуется проверить диск на наличие ошибок (разумеется, если вы не собираетесь его отформатировать после сохранения всех важных документов).

По умолчанию NTFSCHK работает в режиме “только чтение”, то есть если мы запустим NTFSCHK E:, то получим лишь сведения об ошибках. А вот для того, чтобы их устранить, следует запускать утилиту с ключом /F. Получить информацию о доступных разделах можно, выполнив NTFSCHK /S.

ТОТАЛЬНАЯ СЛЕЖКА
В комплект Administrator’s Pack 4.2 входят две утилиты, помогающие выявить причины сбоев Windows: Filemon и Regmon. Filemon контролирует и отображает всю деятельность файловой системы на компьютере. После запуска Filemon перед глазами пользователя появится постоянно изменяющийся список из названий активных процессов, в реальном времени отображающий характер их запросов к файлам (запись, чтение) и пути к используемым файлам. Программа обладает расширенной фильтрацией и возможностью поиска, что позволяет контролировать работу любого приложения, отключая мониторинг не интересующих пользователя процессов.

При помощи Filemon можно, например, отлавливать вредоносные программы на своем компьютере, такие как кейлоггер. Для этого нужно воспользоваться его главным свойством: он обязан сохранять введенные данные в какой-нибудь файл. Чтобы выследить клавиатурного шпиона, достаточно просмотреть список файлов, в которые ведется запись при работе с клавиатурой. В программе Filemon нажимаем сочетание Ctrl+L, в открывшемся окне настроек фильтров убираем птички напротив пунктов Log Opens и Log Reads, оставляя только Log Writes (таким образом, мы будем получать информацию только об операциях записи).

Теперь запускаем любой текстовый редактор и набираем в нем текст, а тем временем Filemon собирает нужные данные. Если в системе есть кейлоггер, он обязательно себя проявит и запишет данные в какой-нибудь подозрительный файл, например ks000log.txt. Чтобы проверить свои опасения, кликаем правой кнопкой мыши по строке с названием процесса и в ниспадающем меню выбираем Process properties. Если процесс запускается из несистемного каталога или носит странное имя, есть повод задуматься.

Утилита Filemon может применяться и в более мирных целях. Предположим, у вас из-за неправильной расстановки прав доступа возникают проблемы с запуском программ, что актуально для многопользовательских систем с файловой системой NTFS. Чтобы решить эту проблему нужно отслеживать файлы, к которым у тестируемой программы нет доступа (они будут помечены флагом access denied). Для удобства сортировки результатов следует использовать фильтр.

Утилита Regmon работает аналогично Filemon, только вместо файлов отслеживает операции с ключами реестра. Она, в частности, поможет отследить, в каких разделах реестра находятся настройки сбойной программы и к каким разделам она не может получить доступ (например, если из-под учетной записи администратора программа работает, а под обычным пользователем – нет).

Каждая из этих программ имеет возможность проводить мониторинг удаленной машины. В меню Computer > Connect и далее в сетевом окружении выбираем исследуемый компьютер. Если вы обладаете соответствующими правами, программы подключатся к удаленной машине и начнут мониторинг (если после подключения в окне программы ничего не отображается, нажмите Ctrl+E чтобы начать сбор информации).

ВСЕВИДЯЩЕЕ ОКО TCPVIEW
Наделенная графическим интерфейсом утилита TCPView Pro показывает, какие из запущенных на компьютере процессов используют сеть. Статистика приводится подробная: можно узнать идентификатор процесса (PID), протокол, по которому он работает, порты, на которые принимает и посылает данные.

Окно программы разделено на две части: вверху отображается статистика созданных соединений, а внизу — динамическая статистика, которая демонстрирует активность работы по протоколу TCP/IP в реальном времени. Данные представлены в виде таблицы и быстро сменяют друг друга (особенно если компьютер используется в качестве сервера). Каждая строка включает в себя дополнительные поля: Action — сообщает об активности процесса (передает или получает данные, разорвал соединение); Status — сигнализирует об успехе или неудаче при передаче данных.

TCPView Pro по умолчанию отображает IP-адреса удаленных хостов. Если же включить DNS Name Resolution (нажав Ctrl + R либо зайдя в меню Options > Resolve Addresses), то вместо IP вы увидите их имена.

Разобраться в многообразии процессов, работающих с сетью, поможет система фильтров TCPView Pro. Так, если вы хотите отследить поведение какого-то подозрительного процесса, то на первой вкладке в строке Include Filter укажите название процесса (допустим, inetinfo.exe). После этого TCPView Pro будет отображать информацию обо всех сетевых контактах “подозреваемого” и вы легко выявите IP злоумышленника.

Графическую версию TCPView Pro дополняет консольный вариант утилиты, под названием TCPVStat. Для удобства ее можно разместить в каталоге windows/system32 – тогда команду можно будет выполнять как встроенную утилиту Windows, используя меню “Выполнить” или консоль. Работает TCPVStat почти как родная для Windows утилита netstat, но при этом дает более полную картину используемых портов и позволяет выводить названия процессов. Особенно интересна детальная информация, которая выводится при запуске с ключом /d.

ДИСКОВЫЕ ОПЕРАЦИИ НА РАССТОЯНИИ
Полный контроль над дисками удаленного компьютера дает программа Remote Recover. Список возможностей обширный: вы можете создавать на диске новые разделы и удалять старые, форматировать диски под FAT или NTFS, запускать проверку и дефрагментацию, заменять поврежденные системные файлы и удаленно менять пароль администратора.

Remote Recover состоит из двух частей: клиентской (устанавливается на компьютеры, нуждающиеся в восстановлении) и серверной (должна быть установлена на рабочей машине). Загрузка клиентов может производиться либо с загрузочной дискеты, либо через сеть по протоколу PXE (этот вариант годится только для сетей, в которых есть DHCP-сервер).

Процесс создания загрузочной дискеты обычный, за исключением того, что на одном из этапов потребуется вставить в CD-привод диск с Windows NT 4.0 Server, поскольку программа установки нуждается в Microsoft Network Client 3.0. Здесь обладателей новых сетевых карт здесь ждет неприятный сюрприз: дело в том, что для работы потребуется самостоятельно найти драйверы под Microsoft Network Client для своих сетевых карт.

КОМАНДОВАТЬ ПАРАДОМ БУДЕТ ERD
ERD Commander 2003 является без преувеличения главным продуктом в программном пакете Administrator’s Pack 4.2. Программа инсталляции ERD Commander 2003 на основе дистрибутива Windows создает предназначенный для записи на CD-R ISO-образ, с которого и следует осуществлять запуск проблемного ПК. Полностью графический интерфейс этой программы вызывает ассоциации с Windows XP (получается нечто вроде LiveCD для Windows XP).

Как и консоль восстановления, ERD Commander 2003 понимает FAT, NTFS и CDFS. При этом в состав продукта входят разнообразные инструменты: собственная консоль, менеджер загружаемых сервисов и драйверов, редактор реестра, файловый браузер, просмотрщик системных логов, текстовый редактор, поисковый механизм, средства поддержки сети и общего доступа к файлам, утилита сравнения двух систем, менеджер дисков, программа восстановления файлов, утилита для изменения пароля локальной учетной записи. Кроме того, имеется возможность запуска несложных программ с других носителей.

После загрузки ERD Commander первым делом нужно при помощи Event Log Viewer просмотреть системные логи и попытаться понять, почему произошел сбой. Определив направление, в котором нужно двигаться, можно приступать к активному вмешательству в систему. Так, процесс удаления или блокирования неисправных драйверов, реализованный гораздо удобнее, чем в консоли восстановления, позволяет отключать драйверы, мешающие загрузке Windows. Делается это в оснастке Service and Driver Manager, в которой нужно перейти к пункту Drivers, вызвать окно свойств подозрительного драйвера, после чего в поле Startup type можно будет указать нужный тип запуска (чтобы заблокировать, выбирайте Disabled).

Всякий, кто имел дело с установкой прав доступа, знает, что Windows можно в два счета вывести из строя, установив неправильные права доступа к системным каталогам. Проблема довольно распространенная. Допустим, по неопытности или злому умыслу (кстати, так поступают некоторые вирусы) к каталогу windows/system32 был запрещен доступ для всех. В этом случае система ведет себя довольно забавно — где-то на середине загрузки компьютер словно спотыкается и неожиданно начинает перезагружаться (то же происходит и в защищенном режиме).

ERD Commander 2003 решает эту проблему в два счета: в файловом менеджере просто вызываем свойства нужной папки, в появившемся окошке щелкаем кнопку Reset Permissions и устанавливаем галочку Reset Permissions for all child object. При помощи встроенного в ERD Commander 2003 редактора реестра то же самое можно проделать и с ошибочно заблокированными ключами реестра. Чтобы вернуть себе доступ к некоему ключу, в меню Edit выберите Reset Permissions.

Что касается реестра, то стоит упомянуть, что для редактирования в ERD Commander 2003 доступны только две корневые ветви: HKEY_CLASSES_ROOT (ассоциации файлов и объектов) и HKEY_LOCAL_MACHINE (информация о локальной системе). Если поврежденными оказались пользовательские разделы, вам придется удалить проблемную учетную запись и создать ее заново, перенеся все документы из старого профиля в новый.

Неотложную помощь в восстановлении удаленных файлов окажет FileRestore. Эта программа чем-то напоминает “Поиск” в Windows, только в данном случае вам предлагается разыскать на всех локальных дисках удаленные файлы. Вы можете задать множество условий – например, время последней модификации, ограничения на размер и т. д. К помощи данной утилиты можно прибегнуть, если в результате удаления или перезаписи важных файлов система стала неработоспособной.

Как известно, встроенная в Windows XP функция восстановления позволяет “откатить систему назад” и вернуться к удачной конфигурации, если после инсталляции программ или при установке нового оборудования возникают ошибки. Но эта возможность доступна только тогда, когда можно загрузить систему.

Если же загрузка невозможна, невозможным становится и восстановление средствами Windows. Утилита System Restore в ERD Commander 2003 позволяет получить доступ к точкам восстановления, созданным Windows XP, и “откатить” систему к более благополучной конфигурации, если загрузить Windows не удается даже в режиме защиты от сбоев. Работа с утилитой полностью аналогична работе с мастером восстановления Windows XP.

Эффективным и в то же время опасным средством для работы с вашим жестким диском является Disk Commander. Основное его назначение – спасение данных с аварийных накопителей. Поставить под угрозу сохранность музыкальных коллекций, собраний фильмов и картинок, которые хранятся на винчестере, не так уж и сложно: всего за несколько мгновений этого эффекта можно добиться внезапным отключением электричества либо неосторожным обращением с командой fdisk.

Программа Disk Commander умеет восстанавливать удаленные файлы как на существующих разделах, так и на неразмеченном пространстве диска. При запуске Disk Commander мастер вежливо интересуется, имеется ли буква (C, D и так далее) у раздела с интересующими нас данными, и если буква не назначена (в Windows мы не сможем прочитать данные с такого раздела), то Disk Commander может провести сканирование всего диска, чтобы получить доступ к таким областям.

Опытные пользователи даже могут попытаться восстановить поврежденную структуру диска вручную, получив прямой доступ к таблицам разделов и загрузочным записям. Главное быть предельно осторожным, чтобы восстановление системы не обернулось для нее окончательным крахом.

Как уже говорилось, ERD Commander 2003 снабжен консолью. В ней, в частности, работает разработанная Microsoft утилита Diskpart, которая позволяет проводить различные манипуляции с разделами жесткого диска. В принципе, оснастка Disk Management в ERD Commander 2003 является графическим интерфейсом для этой утилиты, позволяя делать почти все то же, что и diskpart. Отличия состоят лишь в том, что diskpart работает в диалоговом режиме и позволяет взаимодействовать со сценариями.

Самый же интересный компонент, пожалуй, утилита Locksmith, что на русский язык дословно переводится как “слесарь”. Locksmith делает, казалось бы, невозможное — при включенной утилите Syskey позволяет менять пароль для любой учетной записи, в том числе и администратора. Эта функция обычно становится особенно востребованной после увольнения очередного нерадивого системного администратора. Единственное условие – неповрежденные файлы реестра.

В ERD Commander 2003 можно запускать и некоторые Windows-приложения. Это станет возможно, если при подготовке файлов для создания ISO-образа вы поместите необходимые программы в папку проекта (мастер создания диска предлагает такую возможность). Программы из пакета Office работать, конечно, не захотят, зато любимые Total Commander и WinRAR будут чувствовать себя как рыба в воде (правда, с русскими буквами в интерфейсе могут быть проблемы).

Для наиболее эффективного использования этой функции лучше заранее подготовить набор программ, обычно требующихся при реанимации ОС, например программу Ad-aware, антивирус или бесплатные утилиты для удаления распространенных интернет-червей (скажем, McAfee AVERT Stinger), деинсталлятор, программы резервного копирования, простые твикеры и т. д. Сочетая возможности всех этих утилит и пакета Winternals Administrator, вы сможете вернуть работоспособность ОС или восстановить документы в самых безнадежных ситуациях.