Skocz do zawartości

Podmiana systemowych plików przy niestartującym Windows


Rekomendowane odpowiedzi

BSoD.PNG


Taki BSOD może być także z innych pozainfekcyjnych przyczyn i proszę nie utożsamiać go tylko i wyłącznie z infekcją rootkitem.

 

Aneks do infekcji rootkitem w wariancie TDL3. Może się zdarzyć, że komputer zainfekowany tym typem rootkita w pewnych okolicznościach zderzeniowych przestanie w ogóle bootować wypluwając BSOD (np. PAGE_FAULT_IN_NONPAGED_AREA). Problem to podmienione sterowniki kontrolerów. Typowym plikiem za który się bierze infekcja jest systemowy atapi.sys, a także ndis.sys. Jednakże na innych konfiguracjach zarażeniu mogą ulec pliki sterowników producentów trzecich, takie jak: iaStor.sys / idechndr.sys (Intel), jraid.sys (JMicron), nvata.sys (nVidia), vmscsi.sys (VMware) .....
Na forum wystąpiło to po zamontowaniu ostatnich poprawek do XP (łata KB977165, która wymienia jądro). Co ciekawe, autorzy rootkita zdążyli już go "zaktualizować", by nie tworzył konfliktu z poprawkami MS. Więcej informacji tutaj: KLIK.

Wymiana takich plików na niestartującym Windows jest utrudniona. Można to zrobić tylko i wyłącznie przez bootowanie z alternatywnego nośnika, ewentualnie przepięcie dysku na cudzy komputer... Poniżej metody ogólne wymiany plików w przypadku zupełnie niestartującego komputera. W przykładzie jest użyty modelowy atapi.sys, ale to się aplikuje także do innych plików, i nie tylko zaatakowanych przez TDL. Zresztą za pomocą Metod 2+3 można także uratować osobiste dane z niestartującego Windows i w nogi.



Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jak pozyskać czyste pliki nie posiadając płyt Windows / instalatorów

 

W razie problemów my posłużymy pomocą dając czystą kopię. Ew. szukać kolegi z taką samą wersją systemu operacyjnego i od niego skopiować plik. Podaję metody zamienne do samodzielnych robótek:

 

 

Windows XP

 

Pliki XP (np. atapi.sys, ndis.sys i inne) łatwo uzyskać pobierając pełną paczkę Service Pack. Wersja pobieranego SP powinna być zgodna z wersją SP zainstalowaną w danym systemie. Dla polskich systemów z SP3:

 

--------> flag_small.pngSieciowy pakiet instalacyjny dodatku Service Pack 3

 

Wystarczy daną pobraną paczkę EXE wyekstraktować za pomocą 7-zip. W środku jest katalog i386, a w nim cabowane pliki o rozszerzeniu *.EX_, *.SY_ etc.:

 

xp.png

 

I te pliki wystarczy rozpakować via 7-zip, by uzyskać plik wynikowy.

 

 

 

Windows Vista / Windows 7

 

Pliki Vista i Windows 7 to już inna historia. Opis metody ekstraktowania plików z płyt DVD tych systemów jest w tutorialu: Ekstrakcja plików systemowych z DVD. Metoda ta wymaga posiadania pełnej płyty DVD z instalatorem systemu. Jeśli nie ma w ogóle DVD i nie ma skąd brać plików, jest jeszcze jeden sposób, tzn. pobranie Service Pack (SP1 lub SP2) w wersji pasującej do zdefektowanego systemu:

 

--------> orb_small.pngSP1 i SP2 dla Windows Vista (linki opisane jako "zaawansowane")

--------> orb_small.pngSP1 dla Windows 7 (link opisany jako jako "zaawansowany")

 

 

Service Pack wymaga specjalnej dwustopniowej ekstrakcji z poziomu linii poleceń. Przykład dla dodatku SP2 systemu Vista:

 

1. Załóżmy, że plik Service Pack został pobrany do katalogu E:\Download i tam też zostanie rozpakowany:

 

folder_mini.gifE:\Download

-------- file_exe.pngwindows6.0-kb948465-x86.exe

 

2. Uruchamiamy linię komend. Domyślnie jest ustawiona na katalog użytkownika. Wstępne komendy polegają na przejściu linią komend do katalogu, w którym jest instalator SP. Jeśli katalog jest na innym dysku niż systemowy, w linii poleceń należy jako pierwszą komendę dać literę dysku z dwukropkiem oznaczającą zmianę napędu (tutaj E:):

 

C:\Users\Moje konto>E:

 

 

Linia poleceń ustawi się na dysk - tu E:. Następnie przechodzimy do folderu, w którym leży EXE, poprzez komendę "CD ścieżka dostępu do pliku":

 

E:>CD E:\Download

 

 

3. Wywołujemy polecenie właściwe ekstrakcji:

 

[ścieżka do NazwaServicePack.exe] /X:[Katalog docelowy]

 

W przykładzie SP leży w E:\Download\windows6.0-kb948465-x86.exe i chcę go rozpakować do tego samego katalogu. Pełne ścieżki w tym przypadku nie są konieczne, gdyż linia komend jest już ustawiona na katalog "E:\Download", ale wypisuję całym zdaniem, by unaocznić jak to dostosować pod siebie:

 

E:\Download>E:\Download\windows6.0-kb948465-x86.exe /X:E:\Download

 

 

4. Wynikową tej operacji jest grupa plików. Interesuje nas tylko najgrubszy plik CAB:

 

folder_mini.gifE:\Download

-------- file_exe.pngwindows6.0-kb948465-x86.exe

-------- file_cab.pngwindows6.0-kb948465-X86.cab

 

Plik ten jest rozpakowywany innym poleceniem:

 

expand -F:* [ścieżka do NazwaPliku.cab] [Katalog docelowy wypakowania]

 

W przykładzie plik leży w ścieżce E:\Download\windows6.0-kb948465-X86.cab i chcę go rozpakować do podkatalogu E:\Download\SP:

 

E:\Download>expand -F:* E:\Download\windows6.0-kb948465-X86.cab E:\Download\SP

 

 

5. W oknie komend przelecą linie właśnie wyodrębnianych plików i finałowo otrzymamy zawiadomienie:

 

Trwa rozpakowywanie plików...

Postęp: 4996 z 4998 plików

Rozpakowywanie plików ukończone...

Ogółem plików: 4998.

 

 

folder_mini.gifE:\Download

-------- file_exe.pngwindows6.0-kb948465-x86.exe

-------- file_cab.pngwindows6.0-kb948465-X86.cab

-------- folder_mini.gifSP

------------ (w tym katalogu są wszystkie pliki *)

 

* W folderze docelowym znajdziecie ogłuszającą liczbę katalogów o "kryptograficznych" nazwach. Tu już trzeba się posłużyć wyszukiwarką na nazwę szczególnego pliku. Przykładowo w tej konkretnej paczce SP2:

atapi.sys jest w folderze x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8

ndis.sys w x86_microsoft-windows-ndis_31bf3856ad364e35_6.0.6002.18005_none_a9b2a4d31930d864

 

 

 

Sterowniki firm trzecich

 

Inne pliki kontrolerów mass storage pozyskamy ściągając pełne paczki od producentów. Tu już zależy od producenta. Podam tylko przykład na popularnego Intela, jak wyekstraktować z niego plik iastor.sys. Plik ten jest w pakiecie:

 

--------> Intel Matrix Storage Manager

 

Pakiet wymaga szczególnych instrukcji wypakowujących. Pobrany plik IATA*ENU.exe (gdzie * to kolejne wersje numeryczne) należy umieścić w jakiejś dogodnej krótkiej ścieżce dostępu. W przykładzie założę, że jest to po prostu katalog główny dysku C:\. Należy także utworzyć katalog dla plików, które mają się rozpakować. Załóżmy, że będzie to C:\Intel. Następnie uruchamiamy linię komend i wpisujemy polecenie:

 

C:\Users\Moje konto>C:\IATA89ENU.exe -A -A -PC:\Intel

 

 

(Proszę zauważyć, że parametr -P jest przyklejony do ścieżki C:\Intel, nie ma tam spacji)

 

To uruchomi wizard. Nie ma się co obawiać, to tylko ekstrakcja i poczekać do zgłoszenia o jej ukończeniu. Końcowe lokalizacje się nieco nie zgadzają z dokumentacją Intela .... Wynikowo w katalogu C:\Intel znajdziecie tylko log, a prawdziwą czystą postać sterowników, w tym plik iastor.sys, w C:\Program Files\Intel\Intel Matrix Storage Manager\winall\Driver:

 

intel.png

Odnośnik do komentarza

METODA 1 - KONSOLA ODZYSKIWANIA

 

Dla platformy: Windows XP

 

 

--------> flag_small.pngOpis Konsoli Odzyskiwania i pobieranie gotowej płyty

 

 

WADY METODY:

  • Konsola Odzyskiwania, czy to uruchomiona z CD XP, czy z obrazu który sama zrobiłam, natrafi na przeszkodę: dyski SATA. Niestety płyty CD XP (a także dyski rozruchowe udostępniane przez MS) są dość archaiczne i nie wyposażone w odpowiednie repozytorium sterowników. To oznacza, że startując z tej płyty na dysk pracujący w takim trybie, dysk nie zostanie znaleziony i dalsze operacje nie są możliwe. Podanie sterowników SATA Konsoli teoretycznie jest możliwe na samym początku jej inicjacji przez F6 i wskazanie sterowników INF z nośnika zewnętrznego. Niestety ta metoda może być całkowicie niemożliwa na lapkach bez flopów, bez alternatywnego napędu / lub wykrycia go. Ostatecznie jest metoda z BIOS: użytkownik, który wie o co chodzi może w BIOS na czas startu z Konsoli przekonfigurować tryb pracy kontrolera dysku na standardowy, a po ukończeniu operacji z Konsolą przywrócić oryginalny ...
  • Podawanie nośnika alternatywnego to także kłopot: musi być alternatywny napęd CD/DVD skąd podamy plik, jeżeli plik nie jest na CD z której uruchamiano Konsolę. Teoretycznie Konsola umie wykrywać i napędy USB, ale może się zdarzyć, że nie zostanie to namierzone.
  • Konsola to bardzo limitowane środowisko. Tylko określone ścieżki wchodzą w grę.
.

 

 

Start z pełnej CD Windows XP

 

Płyta instalacyjna Windows XP posiada wszystkie pliki instalacyjne Windows, więc z tej płyty będzie równocześnie start do Konsoli Odzyskiwania + wyciąganie pliku. Wyjątek od reguły: podanie sterownika firmy trzeciej np. Intel wymaga wskazania pliku z innego źródła, gdyż CD XP tego nie posiada -> patrz na wariant numer dwa, gdyż poleceniem nie jest EXPAND lecz COPY.

 

1. Startujemy z płyty CD XP do Konsoli. Linia poleceń ustawi się na katalog Windows. Pierwsze z poleceń pozwoli się zorientować pod jaką literą występuje CD-ROM, w którym siedzi płyta. Wklepujemy:

 

C:\WINDOWS>MAP

 

 

Jako wynik uzyskamy spis urządzeń wraz z ich liternictwem, szukamy CD-ROMu - tutaj jest pod literką E:

 

rcmap1.gif

 

 

2. Wywołujemy polecenie właściwe równoczesnej ekstrakcji + podstawienia pliku z płyty CD:

 

C:\WINDOWS>EXPAND E:\i386\atapi.sy_ C:\WINDOWS\system32\drivers

 

 

(Zauważcie, że pierwszy plik to archiwum mające kreskę na końcu. Pod E:\i386\plik.sy_ podstawiacie oczywiście literę pod jaką widać Wasz CD-ROM)

 

Zostanie zwrócone pytanie czy zastąpić pliki, w zależności od wersji językowej Konsoli wklepujemy Y (ang.) lub T (pol.):

 

Zastąpić atapi.sys? (Tak/Nie/Wszystkie/Zakończ):T

 

 

Pomyślnie wykonane zadanie zostanie obwieszczone w następujący sposób:

 

atapi.sys

Zdekompresowano 1 plik(ów).

 

 

W linii poleceń wklepujemy EXIT, komputer się zresetuje i próbujemy wejść do Windows ....

 

 

 

Start z mini płyty tylko z Konsolą

 

Posługując się moją wersją mini Konsoli należy pamiętać, że płyta ta nie kolportuje żadnych dodatkowych plików Windows i musi być podany dodatkowy nośnik zawierający skombinowany skądś czysty plik do zamiany. Jeden wyjątek: akurat plik atapi.sys jest na tej płytce i można wykonać w tej mini Konsoli to samo co opisane wyżej. W przykładzie użyję więc inny plik - Intela, a jako nośnik jest użyty pendrive.

 

1. Startujemy z mini płyty zawierającej tylko Konsolę. Podobnie jak przy pierwszym przypadku należy sprawdzić czy widać nasze urządzenie i pod jaką literą, poprzez wpisanie komendy:

 

C:\WINDOWS>MAP

 

 

W spisie szukamy urządzenia które "wygląda" jak nasz USB, choćby po rozmiarze to można ocenić (często i samo FAT jest znakiem). Tutaj USB widać pod literą D:

 

rcmap2.gif

 

 

2. Krok właściwy, czyli przekopiowanie pliku z nośnika USB do katalogu Windows:

 

C:\WINDOWS>COPY D:\iastor.sys C:\WINDOWS\system32\drivers

 

 

(Pod D:\iastor.sys podstawiacie oczywiście literę pod jaką widać Wasz USB)

 

3. Podobnie jak we wcześniejszym scenariuszu, padnie pytanie o nadpisanie:

 

Zastąpić iastor.sys? (Tak/Nie/Wszystkie):T

 

 

Dobrze wykonane zadanie to odpowiedź:

 

Skopiowano 1 plik(ów).

 

 

W linii poleceń wklepujemy EXIT ....

Odnośnik do komentarza

METODA 2 - WINRE

 

Dla platformy: Windows XP, Windows Vista, Windows 7

 

 

--------> orb_small.pngOpis środowiska WinRE

 

 

ZALETY METODY:

  • Płyta jest wytworzona z nowoczesnego podkładu i na standardowych konfiguracjach z dyskami SATA nie powinna mieć problemu z widzeniem dysku. A nawet gdyby został napotkany jakiś nietypowy kontroler, płyta umożliwia ręczne podanie sterowników opcją Load Drivers, a wskazywać można z dowolnego nośnika. Nawet jeśli jest tylko jeden napęd CD/DVD = płyta WinRE ładuje się do RAMu pod literą X, co oznacza że zwalnia normalny napęd ROM i nośniki można wymienić nie tracąc dostępu do działającego już w pamięci WinRE.
  • Płyta, choć jest stricte pod Vista lub Windows 7, może zostać użyta przy startowaniu na komputer z Windows XP. Po prostu w fazie, gdzie jest okienko wykrywania systemów operacyjnych będzie pusto, bo płyta nie umożliwia detekcji niższego systemu niż Vista, oraz po przejściu dalej wszystkie opcje z wyjątkiem Wiersza polecenia nie będą oczywiście działać dla XP.
  • WinRE ma potężną linią komend. Można w niej zrobić prawie wszystko co możliwe w cmd w takim limitowanym środowisku.
.

 

1. Na dowolnym dostępnym komputerze należy przygotować nośniki: nagrać ISO WinRE na CD za pomocą Active ISO Burner, a na alternatywnym nośniku USB lub CD umieścić czyste pliki do wymiany.

 

2. W już podanym linku opisowym jest dokładne przejście z obrazkami przez proces startu do WinRE. Dochodzimy do wyboru opcji i tu wybieramy Command Prompt:

 

winre02.png

 

I tutaj są dwie metody przeprowadzenia wymiany plików:

 

 

 

Sztuczki w okienkach

 

1. Otworzy się wiersz poleceń ustawiony na ścieżkę X:\Sources>. W tej linii poleceń WinRE należy wklepać komendę notepad.

 

X:\SOURCES>notepad

 

 

2. Zostanie otworzony Notatnik. Jest to obejście umożliwiające wygodną eksplorację plików w trybie okienkowym. W Notatniku z menu File wybieramy Open:

 

winre03.png

 

 

3. Otworzy się mini eksplorator plików proszący o wskazanie pliku do otworzenia. Plików nie będziemy otwierać, chodzi tylko o uzyskanie łatwej nawigacji po dysku. Notatnik umożliwia podgląd wszystkich typów plików (ale nie listuje ukrytych) - należy na spodzie przestawić z TXT na All files. Z lewej strony jest zlokalizowany pas miejsc szybkiego dostępu. Wybieramy Computer:

 

winre04.png

 

 

4. Zostanie otworzony widok podobny do "Mojego komputera", który gromadzi widok wszystkich dysków twardych i wymiennych aktualnie dostępnych pod WinRE. Wybieramy dysk, na którym umieściliśmy czystą kopię pliku - w przykładzie jest to pendrive:

 

winre05.png

 

 

5. Klikamy PPM myszki na plik i wybieramy opcję Copy (plik zostanie skopiowany do schowka):

 

winre06.png

 

 

6. Ponownie wybieramy z lewej opcję Computer, by przejść do widoku wszystkich dysków. Wybieramy dysk, gdzie jest zainstalowany Windows:

 

winre07.png

 

 

7. Wchodzimy do ścieżki, w której chcemy zamienić pliki. W przykładzie jest to C:\WINDOWS\system32\drivers. Namierzamy plik, który chcemy wymienić (w przykładzie jest to atapi.sys), zaznaczamy go:

 

winre08.png

 

 

8. Z klawiatury SHIFT+DEL (to oznacza kasowanie bez przechodzenia przez Kosz). Otrzymamy komunikat, który należy potwierdzić:

 

winre09.png

 

 

9. Następnie na pustym tle widoku folderu klikamy prawym myszki i z menu kontekstowego wybieramy opcję Paste (czyli wklej):

 

winre10.png

 

 

10. Nasz czysty plik zostanie wklejony:

 

winre11.png

 

 

11. Zamykamy okno eksploratora i Notatnika. Z opcji WinRE wybieramy restart. Wyciągamy płytę. Próbujemy startować normalnie do Windows....

 

 

 

Z poziomu linii komend

 

Alternatywnie wszystko można przeprowadzić tylko za pomocą old schoolowych komend. Należy się rozeznać w liternictwie dysków, który dysk jest tym z Windows, a który naszym nośnikiem z czystą kopią pliku.

 

1. W przykładzie dysk z Windows to C, zaś pendrive z kopią pliku to E. Pierwsza komenda to zmiana napędu na dysk z Windows, wpisanie po prostu litery dysku z dwukropkiem:

 

X:\SOURCES>C:

 

 

2. Linia poleceń ustawi się na dysk systemowy. Wpisujemy polecenie kopiowania pliku z pendrive (E:) do katalogu C:\WINDOWS\system32\drivers:

 

C:\>COPY E:\atapi.sys C:\WINDOWS\system32\drivers

 

 

3. Padnie pytanie o nadpisanie plików, które należy potwierdzić przez wprowadzenie z klawiatury literki Y:

 

Overwrite C:\WINDOWS\system32\drivers\atapi.sys? (Yes/No/All):Y

 

 

Jeśli polecenie będzie pomyślne, na dole pojawi się adnotacja:

 

1 file(s) copied

 

Odnośnik do komentarza
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...