picasso Opublikowano 9 Października 2011 Zgłoś Udostępnij Opublikowano 9 Października 2011 Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione. Przywracanie systemu z poziomu niezaładowanego Windows Instrukcje dla Windows XP Bieżące warunki w świecie malware i paskudne infekcje rootkit coraz częściej powodują konieczność posłużenia się mechanizmami ratunkowymi z poziomu środowiska zewnętrznego. Jeśli uszkodzenia Windows są zbyt rozległe i system już nie startuje, a drastyczne metody w rodzaju formatu nie wchodzą w grę, pomocną dłonią może być Przywracanie systemu wykonane offline. Na systemach Vista i nowszych Przywracanie systemu działa w inny sposób i jest potężnym narzędziem odzysku systemu, a co bardzo istotne można je uruchomić dla zupełnie niestartującego Windows z poziomu WinRE. W Windows XP Przywracanie systemu to słabsze technicznie / mniej zaawansowane wypociny, proces nie jest tak kompleksowy jak w nowszych systemach, i niestety standardowo niedostępne dla niestartującego systemu. Przedmiotem tego artykułu jest wykonalność Przywracania systemu offline na platformie Windows XP, który to system objawia się tu na forum, szczególnie w dziale wiruchów, jako nadal popularny (cóż, brak wsparcia MS, platforma archaiczna, tu należy brać nogi za pas). Artykuł można wykorzystać oczywiście w innym kontekście naprawczym, nie tylko w celu odwracania skutków po infekcji. Aktorem zadania jest komercyjny Microsoft Diagnostic and Recovery Toolkit (DaRT): Microsoft Diagnostic and Recovery Toolkit (DaRT) Narzędzie występuje jako integralna składowa profesjonalnego pakietu administracyjnego MDOP. DaRT umożliwia stworzenie specjalnej płyty startowej. Poszczególne wersje DaRT wyróżnia wersja użytego silnika: DaRT 6.0 - DaRT 10 - DaRT od wersji 6.0 zawiera kreator płyt adresujący platformy Vista i nowsze w wersjach 32-bit i 64-bit. Płyta jest tworzona w oparciu o pełne DVD instalacyjne tych systemów i jest rozszerzeniem WinRE. DaRT 5.0 - Wersja zgodna z Windows 2000/XP/2003 32-bit. Paczka zawiera gotową płytę ERD Commander 2007, która dysponuje m.in. funkcją Przywracania systemu oraz sfc /scannow dla niezaładowanego systemu. Teoretycznie ta wersja kończy zgodność na Windows XP SP2, aczkolwiek pomyślnie przetestowałam wiele funkcji na XP SP3. DaRT 5.0 kompatybilny z XP zawiera się w MDOP 2007 (i bodajże do któregoś momentu w nowszych wydaniach). Niestety pakiety MDOP to materiał ekskluzywny tylko dla subskrybentów. Przeciętny użytkownik XP nie ma tu czego szukać. MS już nie udostępnia oficjalnie publicznego DaRT 5.0 (MSDaRT50Eval.msi), ale plik nadal można pobrać z chip.de: Wybrać opcję Manuelle Installation, w przeciwnym wypadku pobiera się downloader z adware! Pobierz Instalację DaRT 5.0 można wykonać tylko na systemach Windows 2000/XP/2003. Po instalacji w folderze narzędzia jest generowany obraz płyty C:\Program Files\Microsoft Diagnostics and Recovery Toolset\erd50.iso, który należy nagrać na CD. Jest to trial, do 30 dni bez przeszkód dostępna omawiana funkcjonalność, tak więc jak znalazł do sytuacji podbramkowych. By uprzedzić bezsensowne poczynania (i pytania): ponowne nagranie płytki nie oszuka czasokresu trial, limit jest enkodowany w pliku ISO, a oszustwa publiczne są wykluczone tu na forum. Należy także zaznaczyć, że DaRT musi zostać zainstalowany, ponieważ tylko podczas instalacji w pliku ISO jest nanoszony okres próbny, jeśli MSDaRT50Eval.msi zostanie rozbity w inny sposób bez instalacji, plik ISO ma ustawiony punkt startowy na rok 2007, co jest równoznaczne z wygaśnięciem okresu próbnego. Płyta ERD Commander 2007 jest zgodna tylko ze starymi systemami, nie należy jej używać do naprawy systemów Vista i nowszych. Skutkiem ubocznym bootowania jest wykasowanie wszystkich punktów Przywracania systemu. Przywracanie systemu XP z poziomu ERD Commander Proces nie jest tożsamy z wykonaniem Przywracania systemu z poziomu działającego Windows, nie są przywracane następujące dane: hashe haseł, listy kontroli dostępowej ACL, zmiany atrybutów, strumienie ADS. Pierwszym ekranem interakcyjnym po starcie z płyty jest wybór instalacji XP na dysku twardym, należy podświetlić stosowną pozycję i zatwierdzić przez OK: Załaduje się "Pulpit", wybieramy narzędzie przywracania systemu z menu Start > System Tools > System Restore: Pojawi się dialog ERD System Restore Wizard, klik w Next: Wybierz opcję cofania statusu systemu Roll back to an existing restore point created by Windows. ERD System Restore Wizard only performs a partial rollback. (jak wypunktowane w ostrzeżeniu, jest to proces częściowy) i Next: Na liście dostępnych punktów Przywracania wybierz stosowny punkt: Wizard pokaże spis plików, które ulegną zmianie, i poprosi o potwierdzenie wybranego punktu przez Next: Ostateczne potwierdzenie czyli Yes: Proces Przywracania systemu się rozpocznie: Ujawnia się końcowy dialog, na którym wybór opcji Finish kończy pracę kreatora i automatycznie resetuje system w celu sfinalizowania procesu. Za pomocą przycisku View Details można podglądnąć listę wykonanych zmian w obszarze systemu plików i rejestru, otworzy się Notatnik z listą zmian. Proces zostawia na dysku ślady, tzn. można ujrzeć w głównym katalogu dysku systemowego foldery rodzaju ~ErdUserProfile.$$$. Po przywróceniu Windows do życia zalecane jest uruchomić ponownie Przywracanie systemu spod Windows, w celu wykonania korekty danych nie adresowanych przez ERD System Restore Wizard. Odnośnik do komentarza
Rekomendowane odpowiedzi