MsDaRT 7.0 (ERD Commander): решение проблем с Windows
Microsoft Diagnostics and Recovery Toolset (MsDaRT или DaRT)7.0 – набор утилит для восстановления и диагностирования операционных систем семейства, интегрированный в специальный загрузочный диск Windows. MSDaRT 7.0 обычно нужен в экстренных случаях, когда Windows повреждена и не может корректно загрузится (это могут быть последствия установки некорректного драйвера, службы, повреждения или удаления системных файлов, заражения компьютера и т.д.).
Немного предыстории DaRT. Microsoft DaRT – это преемник ERD Commander компании Wininternals (входил в комплект Winternals Administrator Pack). Именно под названием ERD Commander этот продукт и знаком большинству пользователей Windows. Однако после покупки компании Wininternals Microsoft-ом, ERD Commander в качестве компонента был отнесен к пакету Microsoft Desktop Optimization Pack (MDOP), и в дальнейшем переименован в Diagnostics and Recovery Toolset (DaRT).
Microsoft Desktop Optimization Pack (MDOP) доступен подписчикам MSDN / TechNet и корпоративным пользователям продуктов Microsoft по программе Microsoft Software Assurance, и представляет собой набор разнообразных инструментов для решения задач различных администрирования, мониторинга и восстановления Windows – систем.
Как мы ранее сказали, одним из компонентом MDOP является DaRT.
Существуют несколько версий DaRT для разных версий Windows.
Версии DaRT
- DaRT 5.0 для Windows XP и Windows 2003
- DaRT 6.0 для Windows Vista и Windows 2008
- DaRT 6.5 для Windows 7 и Windows 2008 R2
- DaRT 7.0 для Windows 7 и Windows 2008 R2
Стоит отметить, что для работы с x86 и x64 версиями Windows используются различные версии DaRT .
Установив нужную версию DaRT и запустив ее, вы по сути, запустите мастер создания iso образа загрузочного диска (DaRT Recovery Image) основанного на базе Windows RE (однако возможности стандартной среды восстановления Windows –WinRE — существенно расширены) с интегрированными в него инструментами MSDaRT Tools (о них более подробно ниже). Данный iso образ необходимо записать на CD/DVD диск или USB флешку и в дальнейшем можно загрузить компьютер с неисправной Windows с него. Доступ к утилитам восстановления MSDaRT Tools можно получить, загрузившись с загрузочного диска DaRT и выбрав в качестве средства восстановления «Microsoft Diagnostics and Recovery Toolset»
Познакомимся более подробно с инструментарием восстановления системы MSDaRT Tools, доступным в MsDaRT 7.0.
Средства MsDaRT
Полный список всех инструментов управления, восстановления и диагностики, присутствующих в составе MsDaRT
- Registry Editor
- Locksmith
- Crash Analyzer
- File Restore
- Disk Commander
- Disk Wipe
- Computer Management
- Explorer
- Solution Wizard
- TCP/IP Config
- Hotfix Uninstall
- SFC Scan
- Search
- Standalone System Sweeper
- Remote Connection
Разберемся подробнее для чего нужны данные утилиты и как они могут помочь в задаче восстановления Windows.
Registry Editor
Registry Editor (ранее назывался ERD Registry Editor) – по сути это обычный редактор реестра ОС Windows. Работает он с информацией, импортированной из реестра восстанавливаемой Windows, именно по этому в нем отсутствуют ветки HKEY_CURRENT_USER (настройки текущего пользователя) и HARDWARE в HKLM. Стоит отметить, что с помощью данyого редактора реестра можно отредактировать параметры в тех разделах, куда из самой ОС добраться невозможно из-за их блокировки (например, в разделах SAM и SECURITY).
Locksmith
Locksmith (дословно, слесарь или взломщик)— утилита, позволяющая изменить пароль любой локальной учетной записи, в том числе администратора. Достаточно запустить утилиту и выбрать пользователя, пароль которого нужно изменить (есть еще интересный способ сбросить пароль в Windows). Учтите, что пароль должен удовлетворять требованиям текущим настройкам групповой политики, а факт смены пароля фиксируется в журнале Security (в дальнейшем можно определить когда был сброшен пароль).
Crash Analyzer
Crash Analyzer – утилита, позволяющая провести анализ дампов памяти ядра Windows, создаваемых системой при аварийном завершении работы (например, при падении в BSOD). На основании полученной информации можно определить сбойный компонент или драйвер, которые можно отключить с помощью другой утилиты DaRT — Computer Management.
File Restore
File Restore – утилита позволяет найти и восставить случайно удаленные файлы. Утилита достаточно простая, и во многом, проигрывает специализированным программам класса undelete. Однако умеет найти удаленные разделы, и поддерживает диски, зашифрованные BitLocker. Файлы для восстановления можно искать, основываясь на их размере или дате изменения.
Disk Commander
Disk Commander – низкоуровневый инструмент для работы с жесткими дисками. Позволяет восстановить удаленные и поврежденные разделы, а также умеет сохранять и восстанавливать таблицу разделов и перезаписывать MBR. Доступные опции утилиты Disk Commander:
- Restore the Master Boot Record (MBR) –восстановление MBR
- Recover one or more lost volumes – восстановление удаленных разделов
- Restore partition tables from Disk Commander backup – восстановление таблицы разделов из бэкапа
- Save partition tables to Disk Commander backup – резервное копирование таблицы разделов
Disk Wipe
Disk Wipe – утилита позволяет безопасно затереть все данные на жестком диск или его разделе. Идея в том, что данные не просто удаляются, но и поверх них записываются случайные данные с целью затруднения их дальнейшего восстановления. Есть два режима работы: однопроходный и четырехпроходный (соответствуют требованиям министерства обороны США).
Computer Management
Computer Management – утилита отчасти похожа на одноименную консоль управления Windows. С помощью утилиты можно просмотреть системную информацию, системные журналы (Event Viewer), параметры автозагрузки (Autoruns), управлять локальными дисками (Disk Management), а также службами и драйверами (Services and Drivers). С помощью данной утилиты можно отключить лишние элементы автозагрузки (например, вирусный баннер), или службу (драйвер), препятствующую нормальной загрузке системы.
Explorer
Explorer – простой файловый менеджер, аналог проводника Windows. Позволяет быстро перенести или сохранить ценную информацию с неработающей системы.
Solution Wizard
Solution Wizard –простой мастер, позволяющий подсказать подходящий инструмент DaRT, который стоит попробовать применить в той или иной ситуации.
TCP/IP Config
TCP/IP Config – утилита позволяет настроить параметр сети (ip адрес, маску подсети, адреса DNS серверов). Эти настройки обычно можно задать при загрузке DaRT (следует отметить, что беспроводные соединения в DaRT не поддерживаются).
Hotfix Uninstall
Нередко случается, что какое-то из установленных обновлений Windows приводит к серьезным сбоям в системе вплоть до полной невозможности загрузится. Эта утилита предназначен как раз для таких случаев. Hotfix Uninstall выводит полный список обновлений Micrsoft, установленных в системе (с датой установки) и помогает отменить установку любого обновления Windows. Удаляя обновление по одному, можно проверить исчезнет ли проблема.
SFC Scan
SFC Scan – утилита является графической оболочкой к системной утилите SFC (System File Checker). Позволяет проверить системные файлы на целостность и восстановить их в случае необходимости в ручном (с подтверждением) или автоматическом режиме.
Search
Search – утилита поиска файлов. Нужна обычно для поиска и копирования важных документов на неисправной системе.
Standalone System Sweeper
Microsoft Standalone System Sweeper — автономный антивирусный сканер, построенный на том же движке и базах, что и другие антивирусные продукты Microsoft (Windows Defender). Позволяет осуществит офлайн сканирование системы на вирусы и руткиты. Режимы работы: быстрое сканирование, полное сканирование и сканирование выбранных объектов. Сигнатуры антивирусной базы можно обновлять: из локальной папки или Интернета (при наличии сетевого подключения). Следует отметить, что эта утилита появилась в составе DaRT недавно.
Remote Connection
Remote Connection — специальный инструмент, позволяющий администратору или сотруднику технической поддержки удаленно подключится к аварийному компьютеру. Пользователь должен только запустить DaRT и выбрать Remote Connection. Данная функция впервые появилась в MsDaRT 7.0.
Мы вкратце разобрали основной инструментарий MsDaRT Tools, которые могут помочь администратору или опытному пользователю, загрузившись с загрузочного диска с DaRT восстановить работоспособность системы. Однако следует отметить, что нужно четко понимать, что и зачем вы делаете, иначе шансы восстановить Windows невелики. В дальнейшем мы попробуем описать различные сценарии использования загрузочного диска с DaRT (ex ERD Commander) и его инструментария.
Интеграция MsDart в диспетчер загрузки Windows 7
Набор инструментов диагностики и восстановления ОС Microsoft — MSDaRT (Microsoft Diagnostics and Recovery Toolset), более известный широкой аудиторией под названием ERD Commander, является отличным инструментом, позволяющим администратору выполнить диагностику и восстановление системы после сбоя, который мешает ее нормальной загрузке. Все что нужно администратору – записать образ MSDaRT (ERD Commander) на CD-диск или флешку и загрузить проблемный компьютер уже с нее. После загрузки в среде DaRT в распоряжении администратора оказывается большой набор утилит, позволяющих выполнить различные операции с проблемной системой. Подробнее о пакете MSDaRT и входящих в его состав утилитах рассказано в статье MSDaRT 7.0 (erd comander).
А что если интегрировать среду ERD прямо в загрузочное меню Windows? Ведь в такой ситуации приступить к диагностике системы можно намного быстрее, кроме того, можно просто по телефону объяснить пользователю, как загрузить образ DaRT и какие операции необходимо выполнить для восстановления системы (а с помощью замечательной функции Remote Connection можно и вовсе удаленно подключиться к компьютеру пользователю, и все операции выполнить самостоятельно). Такая возможность существует! Итак, сегодня мы разберемся, как интегрировать образ DaRT прямо в загрузочное меню Windows 7.
DaRT можно интегрировать в меню загрузки двумя способами:
- Заменив загрузчик стандартной среды восстановления Windows 7 — WinRE (на базе которой собственно и разработан MsDaRT 7)
- С помощью bcdedit добавить «самостоятельную» ОС c MSDaRT
Итак, нам необходим образ Dart 7 в формате iso (или записанный на загрузочный носитель), который легко формируется с помощью пакета Microsoft Desktop Optimization Pack (ссылка на описание есть выше).
Замена WinRE на MSDaRT
Найдите в корне системного диска каталог Recovery (по умолчанию он скрыт, чтобы его показать включите отображение скрытых и системных файлов и папок). Открыть его Вам не удастся, т.к. доступ к нему по-умолчанию запрещен. Откройте свойства каталога и на вкладке безопасность (Security) предоставьте своей учетной записи (естественно, она должна обладать административными правами) полные права доступ на каталог Recovery.
В каталоге C:\Recovery\ нас интересует файл Winre.wim, это и есть образ среды Windows RE, который грузится, если выбрать пункт «Repair your computer», в загрузочном меню Windows 7 (вызывается клавишей F8 при загрузке системы).
Переименуйте файл Winre.wim в Winre.wim.old.
Затем в подготовленном образе MSDaRT в каталоге Sources найдите файл boot.wim, скопируете его в каталог C:\Recovery\ \ и переименуйте его в Winre.wim.
Перезагрузите компьютер, нажмите F8 при загрузке, выберите пункт «Repair your computer» и вуаля – запустится DaRT!
Создаем отдельную загрузочную запись для MsDart
Скопируйте все содержимое ISO файла с образом DaRT на локальный диск в каталог C:\DART (содержимое файла iso можно извлечь с помощью любого архиватора). Далее нам предстоит добавить в BCD новую запись и указать путь к загрузочному образу DaRT.
Создадим в BCD новый объект типа ramdiskoptions (все команды выполняются с правами администратора):
Создадим новую загрузочную запись:
Предыдущая команда выдаст некий GUID, который присвоен данной загрузочной записи. В данном примере, записи присвоен GUID
После выполнения данных манипуляций при загрузке системе в диспетчере загрузки Windows 7 появится дополнительная опция «MSDART LOADER», выбрав которую система начнет загружать wim образ ERD (c:\DART\sources\boot.wim) .
Таким образом приступить к реанимации «компьютера» можно и без загрузочного диска MsDaRT, который теперь «вшит» в систему. Для удаленной диагностики проблемы достаточно по телефону объяснить пользователю, как запустить среду восстановления DaRT, настроить сеть и запустить средство удаленного управления — Remote Connection. Все дальнейшие операции по восстановлению системы специалист техподдержки может выполнить удаленно самостоятельно.