MsDaRT 7.0 (ERD Commander): решение проблем с Windows | Windows для системных администраторов

Computer management

Computer Management – утилита отчасти похожа на одноименную консоль управления Windows. С помощью утилиты можно просмотреть системную информацию, системные журналы (Event Viewer), параметры автозагрузки (Autoruns), управлять локальными дисками (Disk Management), а также службами и драйверами (Services and Drivers).

Crash analyzer

Crash Analyzer – утилита, позволяющая провести анализ дампов памяти ядра Windows, создаваемых системой при аварийном завершении работы (например, при падении в BSOD). На основании полученной информации можно определить сбойный компонент или драйвер, которые можно отключить с помощью другой утилиты  DaRT — Computer Management.

Disk commander

Disk Commander – низкоуровневый инструмент для работы с жесткими дисками. Позволяет восстановить удаленные и поврежденные разделы, а также умеет сохранять и восстанавливать таблицу разделов и перезаписывать MBR. Доступные опции утилиты Disk Commander:

  • Restore the Master Boot Record (MBR) –восстановление  MBR
  • Recover one or more lost volumes – восстановление удаленных разделов
  • Restore partition tables from Disk Commander backup – восстановление таблицы разделов из бэкапа
  • Save partition tables to Disk Commander backup – резервное копирование таблицы разделов

Disk wipe

Disk Wipe – утилита позволяет безопасно затереть все данные на жестком диск или его разделе. Идея в том, что данные не просто удаляются, но и поверх них записываются случайные данные с целью затруднения их дальнейшего восстановления. Есть два режима работы: однопроходный и четырехпроходный (соответствуют требованиям министерства обороны США).

Explorer

Explorer – простой файловый менеджер, аналог проводника Windows. Позволяет быстро перенести или сохранить ценную информацию с неработающей системы.

Faq erd commander , как пользоваться ?

 Источник

ERD Commander – это набор программ, работающих в среде WindowsPE. WinPE позволяет выполнить загрузку системы со съемного носителя, что дает возможность запустить компьютер даже в случае тотального повреждения файлов существующей на диске ОС, жизненно необходимых для ее старта. Являясь «почти настоящей» 32-битовой Windows, WinPE обеспечивает полный доступ к NTFS-томам, системному реестру, параметрам настройки и драйверам. Стандартный оконный интерфейс ERD Commander, сходный с привычным Рабочим столом, позволяет легко и эффективно использовать предлагаемые им инструменты.

Для изготовления диска, с которого можно запустить ERD Commander, загрузите установщик Diagnostics and Recovery Toolset. После установки необходимо записать на CD образ erd50.iso, который должен находится в папке %PROGRAMFILES%Microsoft Diagnostics and Recovery Toolset.

Все программы, входящие в состав ERD Commander, разделены на три категории –

административные средства

,

инструменты для работы с сетью

и

системные средства

. Кроме того, присутствуют довольно стандартные программы –

интерпретатор командной строки

,

Проводник

,

Поиск

и

Блокнот

. Также в состав ERD входит

Solution Wizard

– небольшой мастер, с помощью диалоговых окон “подсказывающий”, применение какого инструмента будет необходимо в той или иной ситуации.

Итак, для загрузки ERD Commander необходимо вставить компакт-диск с записанным образом в привод и средствами

BIOS

обеспечить выполнение с него загрузки системы. Начало загрузки напоминает старт установки Windows – так же, нажав клавишу

F6

, можно с дискеты загрузить необходимые для

SCSI

или

RAID

-устройств драйвера. Далее ERD попытается обнаружить и сконфигурировать сетевые интерфейсы системы. Если в сети работает DHCP-сервер, ERD производит запуск клиента DHCP, и найденным сетевым интерфейсам будут присвоены IP-адреса. Если DHCP-сервер не обнаружен, системе присваивается адрес 0.0.0.0. В любом случае, после загрузки ERD у вас есть возможность вручную настроить TCP/IP-параметры обнаруженных в системе сетевых карт. На следующем этапе загрузки, в случае обнаружения на диске ОС Windows, будет предложено выбрать ее системную папку.

Также в этом окне можно выбрать раскладку клавиатуры (кириллицы, к сожалению, в списке нет) и часовой пояс, в котором работает система. После загрузки мы увидим практически обычный вид рабочего стола Windows.

Давайте «прогуляемся» по программам, входящим в состав ERD. Щелкните кнопку

Start

, и наведите курсор мыши на группу

Administrative Tools

. Хотя в ней и присутствует шесть значков различных приложений, все они, за исключением редактора реестра, открываются в одной консоли, наподобие

MMC-консоли Windows

.

Первый компонент –

информация о системе

. Выводится имя компьютера, название, тип и версия ОС, номер сервис-пака (если установлен), расположение системной папки, тип, тактовая частота и количество процессоров, представленных в системе. Следует помнить, что при запуске ERD присваивает компьютеру случайное имя (как правило, вида

MININT-XXXXXXX

) – оно отображается в поле

Real computer name

.

В виде списка также перечисляются установленные в ОС пакеты исправлений

(HotFix

-ы) и даются их краткие описания. Следующим средством консоли идет просмотр событий. Здесь все выглядит точно так же, как и в обычных средствах администрирования Windows. Ниже расположен раздел

Autoruns

, содержащий автоматически запускаемые программы при старте операционной системы.

Он разделен на две ветви – программы, запускаемые системой, и программы, запуск которых инициируется входом пользователя в систему. Сначала указывается параметр, содержащий данные о необходимости запуска той или иной программы (на рисунке – это разделы реестра, они выделяются значком слева и серым цветом фона), ниже располагается список запускаемых программ. Сделав правый щелчок кнопкой мыши на названии программы, при помощи отрывающегося меню можно либо удалить программу из автозапуска (команда

Delete

, для выполнения необходимо будет подтвердить действие), либо открыть проводник, который автоматически перейдет к папке, содержащей данную программу (команда

Explore…

). Используя раздел

Autoruns

, вы сможете отключить запуск тех программ, которые вызывают сбой при загрузке ОС.

Ниже расположена ветвь

Services and Drivers

– незаменимый инструмент, если запуск системы невозможен из-за ошибок, связанных с системными службами или драйверами устройств.

Выбрав необходимый драйвер или службу, щелкните на нем правой кнопкой мыши. В открывшемся меню выберите команду

:/>  Как проверить на подлинность лицензию Windows 10

Properties

. Появится диалоговое окно, содержащее информацию об имени и описании драйвера/службы, расположение файла. Окно внизу окна позволяет установить тип запуска для драйвера/службы или отключить его. Последний инструмент в списке консоли –

управление дисками

.

Тоже практически ничем не отличается от аналогичного инструмента Windows. Позволяет форматировать диски, удалять разделы, делать их активными и назначать им буквы. Для этого в нижней панели необходимо выбрать раздел и сделать на нем щелчок правой клавишей мыши. Необходимые команды содержатся в открывшемся меню.

Оставшийся в разделе административных средств инструмент редактирования реестра также практически ничем не отличается от аналога в ОС Windows. Бросающееся в глаза отличие – лишь отсутствие ветви реестра

HKEY_CURRENT_USER

, в котором содержатся настройки текущего пользователя и настройки интерфейса ОС для него. Его отсутствие должно быть понятно – при запуске ERD не производится вход пользователя в систему, которая будет восстанавливаться с помощью ERD.

Продолжим обзор инструментов и перейдем к группе

инструментов работы с сетью

. Первым в списке идет

File Sharing

– «расшаривание файлов», а точнее – предоставление к ним общего доступа. Команда нужна, если вам необходимо сделать файлы восстанавливаемой системы доступными в сети. Это превратит восстанавливаемую систему в файловый сервер и позволит скопировать необходимые файлы с отказавшей системы. При запуске этого средства вам будет предложено ввести, а затем подтвердить пароль пользователя с правами администратора, который будет необходим для доступа к восстанавливаемой системе при сетевом подключении к ней. Необходимо понимать, что данный пароль

не является

паролем для любой из учетных записей Windows, которые существуют в восстанавливаемой системе. Этот пароль можно рассматривать как временный пароль администратора, под учетной записью которого производится запуск восстанавливаемой с помощью ERD Commander машины. После того, как машина будет перезагружена, этот пароль будет не действителен. Более того, как мы говорили выше, если компьютер будет загружен с помощью ERD, ему будет присвоено случайное имя вида MININT-XXXXXX.

Итак, ввели пароль, подтвердили его, нажали кнопку

Start Sharing

. Через некоторое время появится сообщение, что предоставление общего доступа запущено. Можно отправляться к другому компьютеру в сети и подключаться к восстанавливаемому, как к обычному сетевому ресурсу. Однако, я рекомендую немного задержаться и переписать на бумажку название компьютера (на рисунке выше – в зеленой рамке) и пароль, если он достаточно сложный – чтобы иметь их под рукой (MININT довольно легко запомнить, а вот следующие случайные знаки могут легко вылететь из головы – придется возвращаться и выяснять имя компьютера в консоли System Information).

Немного слов о том, как подключится к компьютеру в сети. Как известно, обратиться к компьютеру можно по его

DNS

(

\system.domain.com

),

NetBIOS

(

\System

), или

TCP/IP

(

\192.168.1.101

) адресу. Использование DNS в случае запуска системы с помощью ERD будет довольно проблематично – вот как это примерно выглядит в

Проводнике

:

Довольно забавная группа «

Нет данных

»… Так что лучше использовать IP-адрес или имя системы. Для сетевого входа в систему необходимо будет указать пользователя

Administrator

и пароль, который был введен ранее на машине под управлением ERD Commander. Вы также можете использовать средства командной строки для сетевого доступа. Во встроенной справочной системе ERD Commander допущена досадная ошибка в описании использования команды

net use

для подключения к системе, на которой ERD предоставляет общий доступ к файлам – там в качестве имени пользователя указывается имя компьютера. Команда, вводимая на удаленном компьютере, на самом деле, должна выглядеть так:

net use \minint-sd2r886nipc$ /user:administrator 12345

где

minint-sd2r886n

– это имя компьютера, к которому необходимо подключиться, а

12345

– пароль. При подключении к компьютеру, будут предоставлены права как на чтение, так и на запись.

Следующий инструмент –

Map Network Drive

. Можно сказать, что он выполняет обратную задачу – позволяет подключать к восстанавливаемой системе папки других компьютеров, находящихся в сети, в качестве сетевых дисков. Конечно, на удаленных компьютерах такие папки должны иметь соответствующие разрешения доступа.

Необходимо указать букву диска, в качестве которого будет подключена папка с правами доступа, ее расположение, и сведения об учетной записи, с помощью которой будет производиться подключение к ней. Для поиска папки с помощью проводника, нажмите кнопку

Browse…

.

Возможно, вы удивитесь, но вам будет предложено искать компьютеры вашей сети лишь в группе

WORKGROUP

. Поскольку не у всех это название совпадает с реальным именем группы или домена, сделаем следующее. Запустим в ERD Проводник, и сделаем щелчок мышью на значке

Сетевого окружения

.

Далее, выбираем в строке меню окна команду

Tools

>

Add Domain

. В открывшемся окне вводим имя рабочей группы или домена. Теперь будет осуществляться поиск компьютеров, входящих в указанную группу/домен. Так что проделаем еще раз все с начала (конечно же, вы можете, после прочтения, сразу указать домен/группу, но мы здесь описываем «пошаговые» действия)-

Start

>

Networking Tools

>

Map Network Drive

. Нажимаем кнопку

Browse

, выбираем необходимую папку (скорее всего, потребуется указать имя пользователя и пароль для подключения), щелкаем кнопку

ОК

. Указываем в полях раздела

Connect As

имя пользователя и пароль, еще раз щелкаем кнопку

ОК

. Теперь, открыв проводник, мы увидим подключенный сетевой диск.

Конфигурирование параметров TCP/IP выполняется с помощью средства

TCP/IP Configuration

.

Вы можете указать статический IP-адрес, маску подсети, шлюз, адреса DNS-серверов. В случае получения системой адреса с сервера DHCP указывается время получения и окончания аренды адреса.

Переходим, пожалуй, к самому интересному – группе

System Tools

. Первым в списке располагается

Crash Analyzer

. Этот инструмент предназначен для просмотра «отпечатков» оперативной памяти (

:/>  Как начать пользоваться командной строкой (linux/win/mac) · GitHub

дампов

), создаваемых Windows в момент аварийного завершения работы. С его помощью можно определить причину, вызвавшую сбой системы. Однако, это не «вещь сама в себе» – для работы потребуется наличие в восстанавливаемой системе предварительно установленного пакета

Debugging Tools for Windows

и файлов символов (можно загрузить с сайта Microsoft). Впрочем, используя сетевые утилиты, можно скопировать нужный дамп на машину, где установлен этот пакет, и проанализировать его уже там.

Disk Commander

– инструмент, позволяющий восстанавливать поврежденные или удаленные разделы, тома и файлы.

Disk Wipe

выполняет совершенно обратную задачу, позволяя безопасно «затереть» все данные на жестком диске. Одной из возможностей уничтожения информации является алгоритм, соответствующий требованиям министерства обороны США (возможно, вы работаете на сверхсекретном предприятии – необходимо быть уверенным, что никакая часть информации не попадет в руки врагам).

Инструмент

File Restore

позволяет производить поиск удаленных файлов с помощью целого ряда параметров и последующего их восстановления.

Hotfix Uninstaller

– средство отмены установки пакетов оперативных исправлений (

hotfix

), выпускаемых Microsoft. Если вы уверены, что сбой системы вызван установкой какого-либо из подобных пакетов, его можно удалить, выбрав из списка его название. Этот инструмент следует использовать лишь как крайнюю меру восстановления системы. Настоятельно рекомендуется выбирать за один проход только одно исправление или сервис-пак. Так же следует учесть, что в списке появятся лишь те обновления, которые имеют в своем составе средства автоматической деинсталляции.

В случае последующего успешного старта системы, необходимо будет окончательно удалить «следы» его установки, воспользовавшись апплетом Windows

Установка и удаление программ

.

Идем дальше. Любимая игрушка «кулхацкеров» –

LockSmith

. В переводе с английского – отмычка, да и функции – абсолютно те же. Позволяет переназначить пароль любого локального пользователя системы (вот для чего необходимо в BIOS’е запрещать загрузку со сменных носителей, а на сам BIOS ставить пароль; или физически исключать возможность загрузки со съемных устройств). Все, что потребуется – выбрать пользователя, ввести новый пароль для него и подтверждение. В случае, когда действительно необходимо сменить пароль локального пользователя, необходимо помнить, что будет утеряна следующая информация на диске:

Чтобы избежать потери такой информации, предварительно в Windows необходимо создать дискету сброса паролей. Утилита позволяет произвести сброс паролей лишь на локальной машине, использование в сети не поддерживается (и правильно, а то что б было!..).

System File Repair

позволяет сделать попытку восстановления системных файлов Windows. Если при старте ERD Commander не выбрана системная папка Windows или папка, в которую Windows производит кэширование библиотек dll была удалена, восстановление станет невозможным.

Последний в списке инструмент –

System Restore Wizard

. Он позволит вернуть систему в состояние, записанное системой ранее – одну из

контрольных точек

, которые создаются Windows автоматически (если эта функция не была отключена принудительно). Использование полностью аналогично восстановлению состояния системы средствами самой Windows. В календаре вы выбираете дату с существующей контрольной точкой (они выделяются жирным начертанием цифр), в списке справа указываете ее название и нажимаете кнопки

Далее

.

Думаю, использование

интерпретатора командной строки

,

Проводника

,

Поиска

и

Блокнота

не вызовет у вас вопросов – все точно так же, как и в обычной Windows.

Пожалуй, самым «слабым местом» ERD Commander является отсутствие встроенной поддержки кириллицы. Можно, конечно самостоятельно интегрировать ее в образ диска, с которого производится запуск ERD. Однако можно использовать различные ухищрения. Основная масса устанавливаемых экземпляров Windows – локализованные. Поэтому достаточно открыть, к примеру, папку

C:WINDOWS

, найти файлы, содержащие кириллицу в названиях (стандартные файлы фоновых рисунков рабочего стола, например; слово

Администратор

легко “слепить” из названия папки

Администрирование

), выбрав команду

Переименовать

скопировать их названия в

Блокнот

, а затем уже сочетаниями

Ctrl-C

и

Ctrl-V

«формировать» необходимые слова и так же переносить их в нужные окна программ.

Как, все в нашей жизни,

ERD Commander

– это не набор волшебства, и в некоторых случаях, (например, наличие физических дефектов жесткого диска) возможно, даже его использование не поможет восстановить работоспособность вашей системы. Вопросы резервирования важной информации, которые неоднократно обсуждались на сайте, ничуть не становятся менее важными, это всегда необходимо помнить. Тем не менее, ERD является набором достаточно простых в использовании и при этом эффективных инструментов, которые позволяют справляться с большинством «аварийных» ситуаций. И уж наличие диска с ERD в «домашней аптечке» я считаю просто необходимым… Мало ли что может случиться.

Скачать  ERD Commander 

Скачать (Windows XP)                    Скачать (Windows 7)

File restore

File Restore – утилита позволяет найти и восставить случайно удаленные файлы. Утилита достаточно простая, и во многом, проигрывает специализированным программам класса undelete. Однако умеет найти удаленные разделы, и поддерживает диски, зашифрованные BitLocker. Файлы для восстановления можно искать, основываясь на их размере или дате изменения.

Hotfix uninstall

Нередко случается, что какое-то из установленных обновлений Windows приводит к серьезным сбоям в системе вплоть до полной невозможности загрузится. Эта утилита предназначен как раз для таких случаев. Hotfix Uninstall выводит полный список обновлений Micrsoft, установленных в системе (с датой установки) и помогает отменить установку любого обновления Windows. Удаляя обновление по одному, можно проверить исчезнет ли проблема.

Locksmith

Locksmith (дословно, слесарь или взломщик)— утилита, позволяющая изменить пароль любой локальной учетной записи, в том числе администратора. Достаточно запустить утилиту и выбрать пользователя, пароль которого нужно изменить (есть еще интересный способ сбросить пароль в Windows).

Remote connection

Remote Connection — специальный инструмент, позволяющий администратору или сотруднику технической поддержки удаленно подключится к аварийному компьютеру.  Пользователь должен только запустить DaRT и выбрать  Remote Connection. Данная функция впервые появилась в MsDaRT 7.0.

:/>  Синхронизация времени в Windows

Мы вкратце разобрали основной инструментарий MsDaRT Tools, которые могут помочь администратору или опытному пользователю, загрузившись с загрузочного диска с DaRT восстановить работоспособность системы. Однако следует отметить, что нужно четко понимать, что и зачем вы делаете, иначе шансы восстановить Windows невелики.

Search

Search – утилита поиска файлов. Нужна обычно для поиска  и копирования важных документов на неисправной системе.

Sfc scan

SFC Scan – утилита является графической оболочкой к системной утилите SFC (System File Checker). Позволяет проверить системные файлы на целостность и восстановить их в случае необходимости в ручном (с подтверждением) или автоматическом режиме.

Solution wizard

Solution Wizard –простой мастер, позволяющий подсказать подходящий инструмент DaRT, который стоит попробовать применить в той или иной ситуации.

Standalone system sweeper

Microsoft Standalone System Sweeper  — автономный антивирусный сканер, построенный на том же движке и базах, что и другие антивирусные продукты Microsoft (Windows Defender). Позволяет осуществит офлайн сканирование системы на вирусы и руткиты. Режимы работы:  быстрое сканирование, полное сканирование и сканирование выбранных объектов.

Tcp/ip config

TCP/IP Config – утилита позволяет настроить параметр сети (ip адрес, маску подсети, адреса DNS серверов). Эти настройки обычно можно задать при загрузке DaRT (следует отметить, что беспроводные соединения в DaRT не поддерживаются).

Версии dart

  • DaRT 5.0 для Windows XP и Windows 2003
  • DaRT 6.0 для Windows Vista и Windows 2008
  • DaRT 6.5 для Windows 7 и Windows 2008 R2
  • DaRT 7.0 для Windows 7 и Windows 2008 R2

Стоит отметить, что для работы с  x86 и x64 версиями Windows используются различные версии DaRT .

Установив нужную версию DaRT и запустив ее,  вы по сути, запустите мастер создания iso образа загрузочного диска (DaRT Recovery Image) основанного на базе Windows RE (однако возможности стандартной среды восстановления Windows –WinRE —  существенно  расширены) с интегрированными в него инструментами MSDaRT Tools(о них более подробно ниже).

Данный iso образ необходимо записать на CD/DVD диск илиUSB флешку и в дальнейшем можно загрузить компьютер с неисправной Windows с него. Доступ к утилитам восстановления MSDaRT Tools можно получить, загрузившись с загрузочного дискаDaRT и выбрав в качестве средства восстановления «Microsoft Diagnostics and Recovery Toolset»

Познакомимся более подробно с инструментарием восстановления системы MSDaRT Tools, доступным в MsDaRT 7.0.

Работа с erd commander – авиационные и компьютерные заметки

ERD Commander – один из компонентов DaRT (Diagnostics and Recovery Toolset), который, в свою очередь, входит в состав Microsoft Desktop Optimization Pack.

ERD Commander – это набор программ, работающих в среде WindowsPE. WinPE позволяет выполнить загрузку системы со съемного носителя, что дает возможность запустить компьютер даже в случае тотального повреждения файлов существующей на диске ОС, жизненно необходимых для ее старта. Являясь «почти настоящей» 32-битовой Windows, WinPE обеспечивает полный доступ к NTFS-томам, системному реестру, параметрам настройки и драйверам. Стандартный оконный интерфейс ERD Commander, сходный с привычным Рабочим столом, позволяет легко и эффективно использовать предлагаемые им инструменты.

Простыми словами: ERD Commander – винда, которую можно запустить со сменного носителя (CD или USB-флэшка) и починить вашу родную операционную систему (вручную или с помощью встроенных в ERD Commander специальных утилит).

1. Скачать образ диска ERD Commander (торент-трекеры рулят!).

2. Записать этот образ на CD (поставить минимально возможную скорость записи диска).

3. Загрузиться с этого диска (во время запуска системы активировать функцию boot sequence с помощью функциональных клавиш или установить очередность загрузки в BIOSe).

Загрузка напоминает обычную загрузку Windows:

erd-commander

Можно пропустить (а лучше – оставить) конфигурирование сети:

erd-commander

ERD Commander предложить указать операционную систему, к которой нужно подключиться. Если система одна, то она уже будет предложена, и пользователю останется только это подтвердить:

erd-commander

Рабочий стол ERD Commander‘a:

erd-commander

4. Если ваша задача – поиск и удаление вирусов, запустите программу “Autoruns” через меню Пуск ERD Commander’a:

erd-commander

5. Просмотрите подразделы System и [имя пользователя] (в этом примере – max) на предмет наличия подозрительных объектов, загружающихся из директорий:



А также файлы из директории C:WINDOWSSystem32, имеющие названия из хаотичного набора букв и цифр, например, jmrec7crvc.exe или нечто подобное. Также с недоверием стоит относиться к файлу C:WINDOWSSystem32novirus.exe

erd-commander

Для любителей поковыряться в реестре предусмотрен редактор – знакомый RegEdit, вот только его нужно запускать командой “erdregedit“, иначе он просто не запустится. С помощью редактора реестра можно проверить все ветки, о которых рассказано в статье – “Где прячутся вирусы” вручную.

Также не стоит пропускать проверку файла userinit.exe – его размер должен составлять 26,0 КБ (26 624 байт) и дата его создания должна быть не очень свежей 🙂 Очень часто вирусы внедряются в сам файл userinit.exe, не меняя запись в реестре в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Оригинальные файлы userinit.exe, logonui.exeможно скопировать из любого дистрибутива виндовса (найдете поиском), или скачайть отсюда.

Средства msdart

Полный список всех инструментов управления, восстановления и диагностики, присутствующих в составе MsDaRT

  • Registry Editor
  • Locksmith
  • Crash Analyzer
  • File Restore
  • Disk Commander
  • Disk Wipe
  • Computer Management
  • Explorer
  • Solution Wizard
  • TCP/IP Config
  • Hotfix Uninstall
  • SFC Scan
  • Search
  • Standalone System Sweeper
  • Remote Connection

Разберемся подробнее для чего нужны данные утилиты и как они могут помочь в задаче восстановления Windows.

Оставьте комментарий