Решение ошибки «не удаётся запустить windows из-за испорченного или отсутствующего файла \windows\system32\config\system»

Что такое системные папки Windows 7, и как очистка может повлиять на работу ОС

Что же представляют собой системные папки и какая информация в них хранятся?

Это хранилища информации, где собраны файлы, обеспечивающие работу операционной системы Windows 7. Системные папки обеспечивают работу программного обеспечения компьютера. Изменение в файловой структуре системных папок приведёт к разрушению системы и выходу из строя компьютера.

Системные папки участвуют в работе Windows 7, обеспечивая её стабильность, и хранят информацию в файлах. К таким папкам можно отнести Temp, Temporary Internet Files, WinSxS, System Volume Information, Appdata, System32, Assembly, Installer, Driverstore, Загрузки, Program Files, ProgramData, файл подкачки pagefile.sys. Изменения в этих папках ведут к изменениям в работе системы.

Важнейшей системной папкой является папка Windows. Она находится в том разделе жёсткого диска, в который была произведена установка операционной системы. В ней находится информация о конфигурации и всех настройках компьютера, ссылки на объекты, информация о пользователе и сохранённых на компьютере данных.

Проводить очистку системных папок от ненужной информации можно с помощью встроенных в операционную систему утилит или с помощью установленных сторонних программ.

Таблица: краткое описание и назначение

Название папки	Для чего нужна	Где находится
Temp	Хранятся временные файлы, разные отчёты программ и Windows 7	В корневой структуре жёсткого диска
Temporary Internet Files	Хранятся временные файлы, которые создаются при работе в интернете	C:UsersИмя пользователяAppDataLocalMicrosoftWindowsTemporary Internet Files
System Volume Information	Содержит сведения об изменениях в программах, системных файлах, точки восстановления	В каждом созданном разделе жёсткого диска, например D:System Volume Information
WinSxS	Хранятся файлы конфигурации системы, которые содержат данные о более раннем состоянии системы, позволяющие произвести удаление последних обновлений и откатить сделанные изменения до прежнего состояния	C:WindowsWinSxS
DriverStore	Содержит данные обо всех драйверах устройств компьютера, установленных или обновлённых за время пользования	C:WindowsSystem32DriverStore
Appdata	Хранит настройки установленных программ, закладки браузеров интернета, историю действий в системе и в интернете	C:UsersИмя пользователяAppdata
Installer	Содержит сведения об инсталлированных программах, необходимых для удаления или обновления, инсталляции различных сторонних программ, файлы автоматических системных обновлений, которые не установились по различным причинам и прочие данные, которые необходимы системе и установленному программному обеспечению	C:WindowsInstaller
Assembly	Служебная папка NET.Framework для разных языков программирования	C:WindowsAssembly
System32	Содержит информацию о конфигурации Windows 7	C:WindowsSystem32
Загрузки	Хранит папки и файлы, скачанные из интернета	C:UsersИмя пользователя
Program Files	Хранятся данные о библиотеках, необходимых для запуска сторонних программ	C:Program Files
ProgramData	Хранятся данные о библиотеках, необходимых для запуска сторонних программ	C:Program Data
Pagefile.sys	Файл подкачки, для временного хранения данных, не помещающихся в оперативной памяти компьютера	C:

Все системные папки и файлы очищаются с помощью встроенного и стороннего программного обеспечения. Папки DriverStore и System32 чистить вручную не рекомендуется.

Очистку папки Загрузки можно проводить только вручную. Очистку папок Program Files, ProgramData можно проводить вручную, если в них остались каталоги после деинсталляции установленных программ.

Рассмотрим предложенный алгоритм очистки системных папок с помощью встроенных и сторонних утилит.

Не секрет, что с течением времени по мере работы компьютера папка «Windows» наполняется всякими нужными или не очень нужными элементами. Последние принято называть «мусором». Пользы от таких файлов практически нет никакой, а иногда даже и вред, выражающийся в замедлении работы системы и других неприятных вещах. Но главное то, что «мусор» занимает много места на жестком диске, которое можно было бы использовать более продуктивно. Давайте выясним, как удалить ненужное содержимое из указанного каталога на ПК с ОС Виндовс 7.

Как устранить сообщения об ошибках System32.dll отсутствует / не найден

Совместима с Windows 2000, XP, Vista, 7, 8 и 10

System32.dll представляет собой разновидность файла DLL, связанного с Third-Party Software, который разработан Pdf To Jpg Converter для ОС Windows. Последняя известная версия System32.dll: 1.0.0.0, разработана для Windows. Данный файл DLL имеет рейтинг популярности 1 звезд и рейтинг безопасности “UNKNOWN”.

Файлы DLL (“динамически подключаемая библиотека”), такие как system32.dll – это небольшие программы, схожие с файлами EXE (“исполняемыми”), которые позволяют множеству программ использовать одни и те же функции (например, печать).

Например, когда вы запускаете Windows и редактируете документ в Microsoft Word. Необходимо загружать файл DLL, контролирующий печать, только если его функции востребованы – например, когда вы решили распечатать свой документ. Когда вы выбираете “Печать”, Microsoft Word вызывает файл принтера DLL, и он загружается в память (RAM). Если вы хотите распечатать документ в другой программе, например в Adobe Acrobat, будет использоваться тот же самый файл принтера DLL.

Почему у меня наблюдаются ошибки в файлах типа DLL?

Файлы DLL, будучи общими, существуют за пределами самого приложения. Давая множество преимуществ разработчикам программного обеспечения, такое разделение также открывает возможность для появления проблем.

Проще говоря, если Windows не может корректно загрузить файл system32.dll, вы получите сообщение об ошибке. Для получения дополнительной информации см. “Причины ошибок system32.dll” ниже.

В каких случаях появляются ошибки в файлах типа DLL?

Ошибки DLL, например, связанные с system32.dll, чаще всего появляются во время запуска компьютера, запуска программы или при попытке использования специфических функций в вашей программе (например, печать).

Файл Windows\system32\config\system

Сняли винчестер, подсоединили вторым к рабочему системному блоку. Далее включаем компьютер ждём загрузки работоспособной системы и создаём текстовый документ с любым названием, но только что бы вы запомнили его и с расширением.txt,  прописываем туда:

md tmp

copy c:\windows\system32\config\system c:\windows\tmp\system.bak

copy c:\windows\system32\config\software c:\windows\tmp\software.bak

copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak

copy c:\windows\system32\config\security c:\windows\tmp\security.bak

copy c:\windows\system32\config\default c:\windows\tmp\default.bak

delete c:\windows\system32\config\system

delete c:\windows\system32\config\software

delete c:\windows\system32\config\sam

delete c:\windows\system32\config\security

delete c:\windows\system32\config\default

copy c:\windows\repair\system c:\windows\system32\config\system

copy c:\windows\repair\software c:\windows\system32\config\software

copy c:\windows\repair\sam c:\windows\system32\config\sam

copy c:\windows\repair\security c:\windows\system32\config\security

copy c:\windows\repair\default c:\windows\system32\config\default

Далее помещаем наш текстовый файл в папку :\Windows винчестера с нерабочей системой и ставим его на место.

1. Вставляем установочный компакт-диск Windows XP и перезапускаем проблемный компьютер, загрузиться нужно с дисковода.

2. При появлении надписи «Вас приветствует мастер установки» нажмите клавишу R, чтобы запустить Консоль восстановления.

3. Если на компьютере установлено две или более операционные системы, выберите экземпляр Windows, к которому требуется получить доступ из консоли восстановления.

4. После появления соответствующего запроса введите пароль администратора. Если пароль для учетной записи администратора не назначен, просто нажмите клавишу ВВОД.

   В консоле нужно выполнить  команду batch, (которая позволяет выполнить последовательность команд сохранённую в текстовом файле) и дальше название текстового файла, которое вы были должны запомнить или записать, с расширением.txt, этим самым мы с вами перезаписываем повреждённые файлы реестра резервными копиями из папки \repair.

5. После выполнения восстановления реестра вводим EXIT

Есть ещё вариант, ввести в консоли восстановления команду: CHKDSK С: /R/F, эта команда запускает проверку данных на диске, по умолчанию CHKDSK не проверяет поверхность диска на наличие повреждённых секторов и не исправляет ошибки.

Для поиска повреждённых секторов необходимо задать флаг /R

Что бы исправить ошибки нужно задать флаг /F.

Бывает ошибки находятся и исправляются и компьютер загружается.

И последний вариант, можно попробовать поставить операционную систему поверх, то есть запустить обычную установку Windows XP, но в последний момент выбрать не установить, а восстановить

Назначение папки System32

В первую очередь папка System32 отвечает за хранение файлов операционной системы. Она содержит в себе исполняемые файлы служебных программ, системные утилиты, динамические библиотеки “DLL”, файлы для работы с реестром и драйвера, которые устанавливают пользователи для разной аппаратуры. Кроме того, папка System32 содержит в себе большое количество небольших приложений, входящих в состав операционной системы Windows. Они либо играют в ней ключевую роль или дополняют как инструменты, помогающие в настройке Windows. К ним можно отнести приложения, открывающие доступ к Интернету, программы, позволяющие читать электронную почту, воспроизводить видео и музыку, редактировать графические изображения. И даже не смотря на то, что в папке System32 содержатся преимущественно системные файлы, новые устанавливаемые приложения также устанавливают в нее свои динамические библиотеки DLL.

Сама суть заключается в том, что папка System32 так или иначе связана со всеми установленными приложениями и их каталогами.

Что произойдет если удалить папку System32?

Первое и самое важное о чем мы должны вас предупредить — никогда и ни при каких обстоятельствах не пытайтесь удалить системную папку. К счастью, она в достаточной мере обезопашена разработчиком OC Windows и тем не менее рисковать не стоит точно

Чтобы проверить действительно ли так высока важность папки System32 мы решили провести небольшой эксперимент, который заключается в ее удалении. Настоятельно не рекомендуем вам повторять его, поскольку последствия непредсказуемы

Первый эксперимент.

Мы попытались удалить папку обычным и всем известным методом — с помощью клавиши Delete. Признаюсь честно, меня чуть не хватил инфаркт пока я смотрел на заполняющуюся строку анализа размера папки, ожидая того что может произойти. К счастью, Microsoft защитили системные файлы настолько, что даже права администратора не дают полной свободы действий. Своеобразная система безопасности.

Второй эксперимент.

Теперь мы попытались через настройки доступа к папке получить к ней абсолютный доступ, чтобы получить возможность делать с ней все что угодно. И даже в этом случае нас подстерегала неудача. Оказалось, что не так то просто удалить папку System32

Видимо, в ней есть что-то действительно важное

Поэтому, если вдруг найдете в интернете статью, где предлагая какие-либо услуги приводят в пример слова “я случайно удалил папку System32 и теперь у меня такие-то проблемы”, будьте уверены, что это “развод”. Эту папку невозможно удалить случайно.

Третий эксперимент.

Как говорится, “Кто ищет — тот всегда находит”. Это случилось и с нами.

В финальном эксперименте мы решили воспользоваться командной строкой, поскольку именно эта утилита максимально тесно связана с операционной системой, она напрямую работаете с ее кодом. При помощи команды del мы взяли и беспощадно удалили все возможные файлы папки System32. К нашему удивлению, даже командная строка не помогла удалить все подчистую — какие-то файлы все таки остались.

Подведение итогов.

Результатом эксперимента стал практически полный отказ операционной системы Windows. Внешне может показаться, что она работает, но если вы решите кликнуть по одному из ее элементов, то ничего не произойдет. Мы пытались открыть меню Пуск и другие системные утилиты — Windows не реагировала на наши действия. Попытки же взаимодействия с программами увенчались только обильным количеством “системных ругательств” — появилось большое количество всплывающих ошибок.

Обычно, в случае сбоев, система предлагает совершить автоматическое восстановление или хотя бы запуск в безопасном режиме. Мы решили этим воспользоваться. Совершив перезапуск компьютера и выбрав нужные параметры для корректного восстановления мы не достигли ничего, кроме очередной автоматической перезагрузки. Это связано с тем, что Windows попросту потеряла любую возможность запуститься.

К чему может привести игнорирование ошибки?

Если задействованы встроенные утилиты или программы, которым можно доверять, опасаться нечего. Исправить проблему на слабом ПК можно только посредством его апгрейда. Для примера, в десятой версии Windows часто встречаются подобные баги, так как система особо требовательна к ресурсам компьютера.

Но если же причиной запуска системной утилиты стал вирус, то определенно можно ждать полного выхода из строя всей файловой системы. Для избавления от «черного окна» следует предпринять несколько простых действий.

Алгоритм решения проблемы

Для начала стоит провести диагностику ОС посредством встроенных утилит:

1. Запускаем консоль «Выполнить» при помощи комбинации Win+R и вводим строку msconfig.
2. После этого появляется окно «Конфигурации», в котором нужно отметить пункт «Диагностический запуск».
3. Перезагружаем систему.

Если после безопасного входа строка с надписью system32 на черной панели снова выскакивает, то, вероятно, за это отвечает определенный системный процесс. Когда в область Start прописывается вредоносный код, после диагностического запуска окно cmd.exe не включается автоматически.

Чтобы избавиться от ошибки, стоит для начала очистить системный реестр и директории от лишнего мусора, накопившегося вследствие действий пользователя:

• Лучшей утилитой для этой процедуры является CCleaner. Скачать программу можно с официального ресурса.
• После установки и запуска приложения нужно перейти в раздел «Очистки», проверить систему на ошибки и убрать все отметки посредством поля «Исправить избранное».
• После этого следует проверить реестр в соответствующем меню.
• В раздел Сервис — Автозагрузка помещены все записи о программах, которые автоматически стартуют вместе с Windows. Все подозрительные приложения стоит отключить.
• Для закрепления лечения можно провести полную проверку ОС на вирусы с помощью простеньких в использовании утилит AdwCleaner и MalwareBytes.

Владельцам десятки позволено решать подобные проблемы через командную строку:

• Консоль следует запускать от имени админа, иначе некоторые функции будут недоступны.
• Нужно ввести команду sfc/scannow и нажать Enter.
• Данная утилита регистрирует все изменения в системных файлах и позволяет загружать исправления через сетевые протоколы.

Также можно использовать оснастку «Планировщика задач», если окно командной строки постоянно маячит на рабочем столе и мешает работе:

• В меню «Выполнить» нужно ввести taskschd.msc для запуска утилиты.
• В разделе «Библиотека» находится полный список запланированных на определенное время задач.
• Для дезактивации записей нужно выделить их кнопкой мыши и нажать на пункт «Отключить» в правом меню.
• Если же при выборе пункта возникают сомнения касательно его реальных функций, стоит обратиться к интернету за справкой.

Создание нового пользовательского профиля

Благо, повреждение системного файла рабочего стола не относится к проблеме повреждения системных файлов ядра Windows 10. Как упоминалось, это повреждение в части только нашего пользовательского профиля, т.е. нашей учётной записи. И, соответственно, для решения проблемы нам нужно создать новый профиль, т.е. новую учётную запись. Это меньшее зло, чем переустановка Windows 10, нам не нужно будет устанавливать заново драйверы и программы. Но всё равно многие из наших настроек мы потеряем. Заново придётся устанавливать наши UWP-приложения, настраивать персонализацию, почтовый клиент, календарь, браузер и прочие программы, которые работают с отдельными профильными настройками для каждого из пользователей операционной системы. Ну и также нам нужно будет переместить на другой раздел диска все наши личные файлы, хранящиеся в профильных папках типа «Загрузки», «Видео», «Музыка» и т.д.

В общем, разбираемся с вопросом сохранения важных профильных данных и настроек, затем приступаем к созданию нового профиля. Идём в системные параметры. Кстати, если их невозможно будет открыть привычным образом, открываем клавишами Win+I. Идём в раздел учёных записей, в подразделе «Семья и другие пользователи» жмём добавление нового пользователя.

Вы можете со старта создать себе новую учётную запись с другим именем. Но если вы хотите использовать то же имя, что и было, вам нужно создать прежде временную учётную запись, потом с неё удалить старую и создать новую с таким же именем. Существование двух учётных записей с одним и тем же именем в системе невозможно. Мы так и поступим. Создаём временную учётную запись, и создаём её локального типа, потому далее указываем, что у нас нет данных входа аккаунта Microsoft.

Добавляем пользователя без аккаунта Microsoft.

Вводим имя локального пользователя, любое имя. Никаких паролей для временной учётной записи, естественно, не задаём.

Жмём «Далее».

Далее нам нужно поменять тип учётной записи, что мы только что создали.

Тип меняем на администратора.

Полностью выходим из системы.

Заходим во временную учётную запись.

Ожидаем, пока она настроится. Принимаем параметры конфиденциальности.

В среде нового профиля системы снова запускаем системные параметры и идём туда же, где мы создавали учётную запись. И теперь удаляем нашу старую учётную запись с повреждённым рабочим столом.

После этого точно так, как создавали временную учётную запись, создаём запись со своим именем, задаём ей тип администратора. Далее выполняем выход из временной учётной записи, заходим в запись со своим именем. И уже из неё удаляем временную учётную запись.

Восстановление удаленных либо испорченных системных файлов Windows XP и Windows 7

Бывают случаи, когда нужно восстановить испорченные, либо удаленные системные файлы Windows XP . Системные файлы, имеют все шансы быть удалены, испорчены, либо подменены зараженными файлами в результате, к примеру, воздействия вирусов. Нередки случаи дефекта системных файлов при некорректном выключении компа (как вариант, при выключении света) в следствии погрешностей в файловой системе.

Ниже вы получите ответ на вопрос: Как восстановить поврежденные системные файлы без переустановки Операционной Системы.

Способ подходит для тех случаев, когда известно, какие непосредственно системные файлы нужно будет вернуть.

В случае если PC прекратил загружаться после некорректного выключения (отключение электричества, выключение кнопкой, выдергивание шнура питания из розетки), сначала нужно проверить жесткий диск на присутствие логических ошибок.

Нам нужно будет распаковать удаленные из системы файлы с установочного диска Windows в папку, где они должны присутствовать. В случае если у вас нет дистрибутива windows, можно скачать архив с папкой I386 для 32-битной версии Windows XP.

Чтобы вернуть системные файлы необходимо загрузиться с загрузочного СD, к примеру ERD Commander . Скачать образ диска можно здесь . Записать образ диска можно с помощью (скачать можно по этой ссылке )

Рассмотрим, как распаковать системные файлы с установочного диска Windows на примере восстановления файла C:\Windows\System32\userinit.exe , который зачастую подменяется баннерами, блокирующими Windows . Процесс восстановления поврежденных системных файлов с установочного диска принципиально не отличается и для иных файлов. Основное верно знать в какой непосредственно папке обязан находится тот или иной файл.

Загружаемся с диска ERD Commander . Выбираем загрузку ERD Commander 5.0 for Windows XP . В появившемся окошке в конце загрузки выбираем путь к установленной ОС Windows и нажимаем ОК.

В появившемся окне нужно выбрать путь C:\Windows\System32 и нажать ОК.

Синтаксис команды: expand

Чтобы выполнить команду, нужно будет запустить командную строку. В меню Пуск (Start) выбираем пункт Выполнить (Run) . В появившемся окошке вводим команду cmd и нажимаем Enter.

В окошке командной строки вводим команду для распаковки нашего файла: expand c:\windows\system32\userinit.ex_ c:\windows\system32\userinit.exe и нажимаем Enter.

Выполнится распаковка, о чем говорит текст: “c:\windows\system32\userinit.ex_: 11863 bytes expanded to 26624 bytes”. Восстановление системного файла прошло удачно . Теперь можно перезагружать PC.

Таким же образом восстанавливается любой другой системный файл Windows .

Вид пользовательских папок

В Проводнике некоторые папки (Документы, Изображения и т.п.) имеют свои собственные значки. Если вдруг они стали отображаться стандартными значками в виде желтых папок, как и любые другие папки, значит у вас отсутствуют или оказались поврежденными файлы desktop.ini, расположенные в таких папках. Или же эти файлы имеют неправильные атрибуты.

В случае, если файл desktop.ini присутствует в папке, проверьте его атрибуты. У файла должны быть установлены атрибуты Скрытый, Только чтение и Системный. Если это не так, установите их. Дополнительно необходимо установить атрибут Только чтение на пользовательскую папку. Для вступления в силу изменений необходимо завершение сеанса.

Для того, чтобы установить атрибут Системный воспользуйтесь командой attrib.

В случае если файла desktop.ini нет в папке, его необходимо создать. Каждой из пользовательских папок соответствует свое содержимое этого файла, ниже вы найдете содержимое этих файлов по умолчанию. Естественно, после создания файла, ему необходимо присвоить атрибуты, указанные выше.

Содержимое файлов desktop.ini для стандартных пользовательских папок

Документы

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21770
IconResource=%SystemRoot%\system32\imageres.dll,-112
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-235

Изображения

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21779
InfoTip=@%SystemRoot%\system32\shell32.dll,-12688
IconResource=%SystemRoot%\system32\imageres.dll,-113
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-236

Музыка

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21790
InfoTip=@%SystemRoot%\system32\shell32.dll,-12689
IconResource=%SystemRoot%\system32\imageres.dll,-108
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-237

Видео

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21791
InfoTip=@%SystemRoot%\system32\shell32.dll,-12690
IconResource=%SystemRoot%\system32\imageres.dll,-189
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-238

Поиски

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-9031
IconResource=%SystemRoot%\system32\imageres.dll,-18

Indexed Locations.search-ms=@searchfolder.dll,-32820
Everywhere.search-ms=@searchfolder.dll,-32822

Загрузки

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21798
IconResource=%SystemRoot%\system32\imageres.dll,-184

Избранное

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21796
IconResource=%SystemRoot%\system32\imageres.dll,-115
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173

Контакты

LocalizedResourceName=@%CommonProgramFiles%\system\wab32res.dll,-10100
InfoTip=@%CommonProgramFiles%\system\wab32res.dll,-10200
IconResource=%SystemRoot%\system32\imageres.dll,-181

Рабочий стол

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

Ссылки

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21810
IconResource=%SystemRoot%\system32\imageres.dll,-185
DefaultDropEffect=4

RecentPlaces.lnk=@shell32.dll,-37217
Desktop.lnk=@shell32.dll,-21769
Downloads.lnk=@shell32.dll,-21798

Сохраненные игры

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21814
IconResource=%SystemRoot%\system32\imageres.dll,-186

[править] См. также

• Alt+F4
• Ctrl+Alt+Del
• rm -rf — для красноглазиков.
• winlogon.exe
• IOSYS
• Кулхацкер
• Ламер
• УДОЛИЛ

System32 — лучше всех! Я гарантирую это!

Системы  Android • DOS • FreeBSD • Haiku • Linux • MenuetOS • macOS / Хакинтош • OS/2 • ReactOS • Windows / Винда • РусОС • Фантом ОС Среды  GNOME • GNU Emacs • KDE Люди  Баллмер • Генерал Фейлор • Поттеринг • Столлман • Торвальдс • Фолькердинг Дистрибутивы Linux  Arch • Debian • Fedora • Finnix • Gentoo • LFS • Ubuntu (BolgenOS) • Слака Версии винды  Виста (говносборки) • Семёрка • Windows Phone 7 • Windows Phone 8 Пользователи  Админ • Бздун • Виндузятник • Красноглазик • Линуксоид • Яблочник Площадки  /s/ • LOR • ru mac • ru.os.cmp • stoplinux.org.ru Мемы  /dev/null • BSD, not LSD • GIF • GNOME vs. KDE • Mac vs. PC • OS-tan • rm -rf • System32 • TRUE-DEATH-PRIMITIVE-LINUX-MITOLL • Бубен • Вендекапец • Гномики • Даунгрейд • Если бы… • Ждём ебилдов • КЛБ • Маздай • Патчить KDE2 под FreeBSD • Приборчик • Распечатать лицензию на Линукс • Тукс • Тупые свитчеры • Феникс

Исследование системы

Образы

За что мне нравится исследовать образы – это очень удобно. По целому ряду причин:

1. Мы можем повторить исследование неоднократно без опаски исказить или испортить, если монтировать образ к системе в режиме “только чтение”.
2. Можем передать образ другому лицу (как Серёга передал мне), с жёстким диском было бы сложнее.
3. Многие программы позволяют работать непосредственно с образом. Если нет – монтируем и получаем “виртуальный жёсткий диск”.
4. Жёсткий диск может получить бэд-блок в нужном нам месте или вообще выйти из строя, образ лишён этого недостатка (не рассматриваем случай, когда вылетит сектор нашего жёсткого диска, на котором лежит образ – можно сделать копию образа на съёмный диск).

Поиск удалённой информации

Наиболее полная картина будет, когда мы откроем содержимое диска не через проводник Windows, а программами, использующими свой драйвер файловой системы – WinHEX, R-Studio – это позволит обходить права доступа к каталогам, получать удалённые файлы да и вообще сделает работу намного удобнее.

В разных случаях я использую различные программы, но R-Studio как правило всегда.

“Горячие точки”

Даже если на первый взгляд ничего необычного нет, (хотя у нас уже не всё ладно), поиск следов начинаем с экспресс-проверки “горячих точек” – мест, где наиболее вероятно появление различного рода вредоносного ПО:

• Корень раздела;
• Каталог Windows, Windows\System32, Program Files;
• Каталоги Temp (в корне раздела, в каталоге Windows, в каталоге AppData пользователя);
• Сам каталог AppData разных пользователей;
• Каталог запланированных задач (Tasks), их два, если что;
• Каталоги автозагрузки пользователей;

Если система была заражена, то 99% в одном из этих мест будет что-нибудь необычное и нехорошее, заметное даже при беглом взгляде. Все следы тщательно документируем и смотрим метки времени, особенно даты создания файлов. По этим датам ищем уже в других каталогах, R-Studio позволяет это сделать. Ну а потом начинаем “разматывать” в обе стороны – ранее и позднее от времени маркера, ищем так сказать причины и последствия :). И смотреть, что интересное есть в тех же каталогах.

PCI Express Config Space

Немного отвлечёмся на один нюанс про PCIE Config Space. С этим адресным пространством не всё так просто — со времён шины PCI для доступа к её конфигурационному пространству используется метод с использованием I/O портов 0xCF8 / 0xCFC. Он применён и в нашем драйвере AsrDrv101:

Чтение и запись PCI Config Space

Но через этот метод доступны только 0x100 байт конфигурационного пространства, в то время как в стандарте PCI Express размер Config Space у устройств может быть достигать 0x1000 байт! И полноценно вычитать их можно только обращением к PCI Extended Config Space, которая замаплена где-то в адресном пространстве, обычно чуть пониже BIOS:

Адресное пространство современного x86 компа, 0-4 ГБ

На чипсетах Intel (ну, в их большинстве) указатель на эту область адресного пространства можно взять из конфига PCI устройства 0:0:0 по смещению 0x60, подробнее описано в даташитах:

У AMD я такого не нашёл (наверняка есть, плохо искал), но сам факт неуниверсальности пнул меня в сторону поиска другого решения. Погуглив стандарты, я обнаружил, что указатель на эту область передаётся системе через ACPI таблицу MCFG

А сами ACPI таблицы можно найти через запись RSDP, поискав её сигнатуру по адресам 0xE0000-0xFFFFF, а затем распарсив табличку RSDT. Отлично, здесь нам и пригодится функционал поиска по памяти. Получаем нечто такое:

На всякий случай оставляем вариант для чипсетов Intel

Всё, теперь осталось при необходимости заменить чтение PCI Express Config Space через драйвер на чтение через память. Теперь-то разгуляемся!