Набор инструментов для диагностики и восстановления (часть 4)

Опубликовано: 21 Марта, 2023

В двух статьях этой серии мы узнали о наборе инструментов Microsoft для диагностики и восстановления (DaRT), о том, как установить DaRT, как создать загрузочный компакт-диск DaRT и как вы можете использовать инструменты DaRT на своем компакт-диске DaRT, чтобы попытаться решить проблемы, предотвращающие Компьютеры под управлением Windows от успешной загрузки. В предыдущей статье было показано, как использовать средство проверки системных файлов (SFC), которое является одним из инструментов DaRT; в этой статье рассматриваются некоторые дополнительные инструменты DaRT.

Изучение других инструментов DaRT

Вернемся к экрану инструментов MSDaRT, который отображается после того, как вы загрузили проблемный компьютер с компакт-диска DaRT и ответили на все запросы (о том, как загрузить компьютер с компакт-диска DaRT, см. в предыдущей статье этой серии):

Изображение 19143
Рисунок 1: Экран инструментов MSDaRT

Давайте рассмотрим некоторые из различных доступных инструментов DaRT. Если щелкнуть параметр «Проводник» на экране «Инструменты MSDaRT», откроется проводник Windows:

Изображение 19144
Рисунок 2. Проводник Windows

Обратите внимание, что скрытые и системные файлы по умолчанию отображаются в окне проводника. Используя параметры, доступные в строке меню и в контекстном меню, отображаемом при щелчке элементов правой кнопкой мыши, вы можете выполнять стандартные задачи, такие как создание папок, копирование файлов и т. д. Вы также можете подключить сетевые диски, если у вас настроено сетевое подключение вручную или через DHCP. Если вы решили не переназначать диски при загрузке с компакт-диска DaRT, вы также увидите скрытый раздел System Reserved, в котором хранятся файлы базы данных конфигурации загрузки для компьютера.

Если щелкнуть параметр «Редактор реестра ERD» на экране «Инструменты MSDaRT», откроется редактор реестра ERD:

Изображение 19145
Рисунок 3: Редактор реестра ERD

Используя редактор реестра ERD, вы можете внести изменения в реестр на проблемном компьютере. Обратите внимание, что здесь не отображается куст реестра HKEY_CURRENT_USERS, поскольку ни один пользователь не вошел в систему на компьютере, который вы устраняете. Обратите внимание, что вы также можете полностью просматривать и редактировать поддеревья SAM и SECURITY куста HKEY_LOCAL_MACHINE. Эти поддеревья реестра по умолчанию скрыты при обычной установке Windows.

Если щелкнуть параметр «Поиск» на экране «Инструменты MSDaRT», откроется диалоговое окно «Поиск файлов»:

Изображение 19146
Рисунок 4: Диалоговое окно поиска файлов

С помощью этого диалогового окна вы можете искать файлы и папки в целевой системе. Вы можете искать по имени, использовать подстановочные знаки в поиске, искать по времени/дате и искать файлы, которые попадают в указанный диапазон размеров. Найдя файл или папку, которую вы ищете, вы можете щелкнуть по ней правой кнопкой мыши, чтобы отобразить ее свойства (вы также можете сделать это из инструмента Explorer):

Изображение 19147
Рисунок 5: Просмотр свойств папки

Нажав кнопку «Разрешения», вы сможете просмотреть разрешения NTFS для файла или папки.

Вы также можете щелкнуть правой кнопкой мыши папку в результатах поиска и открыть ее в Проводнике:

Изображение 19148
Рисунок 6: Открытие папки в Проводнике

Двойной щелчок по файлу журнала позволяет просмотреть файл с помощью Блокнота:

Изображение 19149
Рисунок 7: Просмотр файла CBS.log с помощью Блокнота

Если щелкнуть параметр «Удалить исправление» на экране «Инструменты MSDaRT», откроется мастер удаления исправлений:

Изображение 19150
Рисунок 8: Мастер удаления исправлений

Если целевая система стала нестабильной после загрузки и установки последних исправлений безопасности из Центра обновления Windows, вы можете использовать этот мастер для удаления их по одному, пока ваша система снова не станет стабильной. Конечно, если вы действительно можете загрузиться в Windows, вы можете вместо этого использовать восстановление системы, что проще, но здесь мы предполагаем, что система не загрузится.

Нажатие «Далее» заставляет DaRT искать все установленные исправления в системе:

Изображение 19151
Рисунок 9: Список установленных исправлений

Если вы прокрутите вниз до самого последнего исправления, выберите его и нажмите «Подробности», утилита обслуживания образов развертывания и управления ими (DISM) откроет пакет и отобразит подробную информацию об исправлении:

Изображение 19152
Рисунок 10: Просмотр информации об исправлении

Чтобы удалить исправление из системы, установите флажок для исправления и продолжите работу с мастером.

Некоторые сценарии устранения неполадок (плюс несколько инструментов DaRT) требуют подключения к сети для правильного решения. Если в вашей сети есть DHCP-сервер, DaRT может арендовать IP-адрес, как описано в предыдущей статье этой серии. Однако, если сервер DHCP недоступен, вы можете щелкнуть параметр «Конфигурация TCP/IP» на экране «Инструменты MSDaRT», чтобы открыть диалоговое окно «Конфигурация TCP/IP», в котором можно вручную настроить IP-адрес, маску подсети, шлюз по умолчанию и адреса DNS-сервера. к целевой системе:

Изображение 19153
Рис. 11. Назначение IP-адреса целевой системе вручную

Иногда компьютер может перестать загружаться из-за заражения вредоносным ПО. Если это произойдет, загрузите его с компакт-диска DaRT и выберите параметр «Автономная проверка системы» на экране «Инструменты MSDaRT», чтобы запустить автономную проверку системы:

Изображение 19154
Рисунок 12: Шаг 1 использования Standalone System Sweeper

Когда откроется Standalone System Sweeper, убедитесь, что вы нажали кнопку «Проверить наличие обновлений сейчас», показанную здесь:

Изображение 19155
Рисунок 13: Шаг 2 использования Standalone System Sweeper

Теперь нажмите «Загрузить», чтобы получить последние обновления определений вредоносных программ из Центра защиты от вредоносных программ Microsoft. Обратите внимание, что для этого вам потребуется подключение к сети (и Интернету):

Изображение 19156
Рисунок 14: Шаг 3 использования Standalone System Sweeper

На следующем экране показаны загружаемые последние определения вредоносных программ. Это может занять некоторое время:

Изображение 19157
Рисунок 15: Шаг 4 использования Standalone System Sweeper

После загрузки определений вы можете использовать кнопку «Сканировать» на панели инструментов для сканирования целевой системы на наличие вредоносных программ. У вас есть возможность выполнить быстрое сканирование, полное сканирование или выборочное сканирование:

Изображение 19158
Рисунок 16: Шаг 5 использования Standalone System Sweeper

На следующем экране показано, как выполняется сканирование. Значок желтого взрыва (!) указывает на то, что вредоносное ПО было обнаружено:

Изображение 19159
Рисунок 17: Шаг 6 использования Standalone System Sweeper

После завершения сканирования вы можете либо щелкнуть «Очистить систему», чтобы попытаться удалить заражение вредоносным ПО, либо нажать «Просмотреть обнаруженные элементы», чтобы увидеть, что в системе обнаружено программой Standalone System Sweeper. Мы выберем последний вариант:

Изображение 19160
Рисунок 18: Шаг 7 использования Standalone System Sweeper

При выборе параметра «Просмотреть обнаруженные элементы» вам будет предложено отправить информацию о заражении вредоносным ПО в Microsoft, чтобы ее можно было добавить в их базу данных для анализа:

Изображение 19161
Рисунок 19: Шаг 8 использования Standalone System Sweeper

После нажатия кнопки «Да» (или «Нет») в приведенном выше диалоговом окне открывается диалоговое окно «Предупреждение об автономном очистителе системы», в котором отображается список обнаруженных вредоносных программ. Нажав элемент управления «Действие», вы можете удалить, поместить в карантин или разрешить вредоносное ПО (по умолчанию — «Удалить»):

Изображение 19162
Рисунок 20: Шаг 9 использования Standalone System Sweeper

Чтобы удалить вредоносное ПО, нажмите «Очистить систему». Если удаление прошло успешно, это будет указано в столбце Статус:

Изображение 19163
Рисунок 21: Шаг 10 использования Standalone System Sweeper

Еще один полезный инструмент DaRT — Управление компьютером:

Изображение 19164
Рисунок 22: Управление компьютером

Как вы можете видеть выше, версия управления компьютером, включенная в DaRT, позволяет вам делать только следующее:

  • Просмотр информации о системе
  • Просмотр журналов событий
  • Просмотр (и, при желании, удаление) автозапусков
  • Просмотр (и при необходимости изменение режима запуска) драйверов и служб
  • Просмотр и управление дисками и томами

Еще один полезный инструмент DaRT — File Restore, который позволяет вам попробовать файлы, которые пользователи случайно удалили, если они также очистили свою корзину:

Изображение 19165
Рисунок 23: Восстановление файла

Обратите внимание, что File Restore не всегда может восстановить удаленные файлы — если они уже были перезаписаны, они исчезли навсегда, если где-то нет доступной резервной копии.

Еще один полезный инструмент DaRT — Locksmith, который позволяет сбросить пароль учетных записей пользователей на целевом компьютере:

Изображение 19166
Рисунок 24: Слесарь

Locksmith даже позволяет вам сбросить локальную учетную запись администратора, если ее пароль был забыт:

Изображение 19167
Рис. 25. Слесарь может сбросить учетную запись локального администратора

Еще один полезный инструмент DaRT — Disk Commander:

Изображение 19168
Рисунок 26: Командующий дисками

Вы можете использовать Disk Commander для восстановления основной загрузочной записи системы и информации о разделах (заражение вредоносным ПО часто может повредить их, сделав систему невозможной для загрузки):

Изображение 19169
Рисунок 27: Параметры Disk Commander

Одна вещь, которую Disk Commander не исправит, — это проблемы с вашей базой данных конфигурации загрузки (BCD). Но если ваш BCD поврежден, вы увидите диалоговое окно ниже, прежде чем перейдете к экрану инструментов MSDaRT, который позволяет восстановить BCD, чтобы установка Windows могла быть расположена в системе:

Изображение 19170
Рисунок 28: Восстановление поврежденного BCD

Наконец, если вы не уверены, какой инструмент DaRT использовать, вы всегда можете попробовать Мастер решений:

Изображение 19171
Рисунок 29: Мастер решений

Этот мастер поможет вам ответить на ряд вопросов, которые помогут вам использовать инструменты DaRT:

Изображение 19172
Рисунок 30: Использование мастера решений

Вывод

В этой и предыдущей статьях мы рассмотрели все различные инструменты DaRT, кроме Crash Analyzer, который вы можете использовать для анализа причины стоп-сообщений (синего экрана смерти) при их появлении. Мы рассмотрим эту тему в следующей и последней статье этой серии.

  • Набор инструментов для диагностики и восстановления (часть 5)
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023