Допустим, вы являетесь специалистом по информационной безопасности, системным администратором, сотрудником тех. поддержки или другим специалистом в области ИТ — в этом случае у вас, наверняка, имеются под рукой различные инструменты из области LiveCD\Rescue Disk. Каким образом они помогают вам решить проблемы, связанные с вирусным заражением и поломкой системы, когда инцидент возникает на удаленных системах (серверах, на ноутбуках сотрудников, находящихся в командировке или у знакомых и друзей, которые обращаются к вам за помощью как специалисту)?
Конечно, специалисты могут изначально настроить системы безопасности должным образом и основательно закрутить гайки где это необходимо, но при этом часто оставляют административные права пользователям, что порой приводит к вирусному заражению системы, связанное с человеческим фактором. Такие ситуации происходят даже в крупных ИТ-компаниях, не говоря об обычных пользователях, которые в большинстве случаев далеки от ИТ.
Можно, конечно, минимизировать риски, но избежать полностью не получится — иначе, зачем нам все эти LiveCD и Rescue Disk. В общем, идея заключается в заблаговременной подготовке к возможным возникновениям таких ситуаций, при этом инструменты для лечения и восстановления системы должны находиться не на съемных носителях, а непосредственно на устройствах: ноутбуках и системных блоках. Одним из примеров может считаться замена WinRE на Microsoft DaRT, но такие инструменты могут использовать не все, а для домашнего пользователя в большинстве случаев они будут излишними. Обычным пользователям нужен более простой и понятный инструмент, к примеру, антивирусное решение для сканирования и лечения системы.
Рассмотрим простой пример реализации такого решения. За основу возьмем использование Eset SysRescue. ESET SysRescue – это дистрибутив LiveCD c антивирусным программным обеспечением, которое может использоваться для очистки зараженного компьютера. Данный выбор обусловлен несколькими причинами, во-первых, он основан на WAIK (Windows Automated Installation Kit), во-вторых, в нем изначально заложена функция обновления антивирусной базы из интернета, в-третьих, при загрузке происходит сразу запуск антивирусного приложения, что упрощает взаимодействие пользователя. Данным дистрибутивом наш выбор не ограничивается – можно использовать и другие решения основанные на WinPE.
Для разворачивания Eset SysRescue на системе с Windows XP нам потребуются: системы с установленной Windows XP; собранный образ Eset SysRescue (инструкция есть на сайте производителя); скрипт с настройкой системой и три файла из системы с windows 7: bootmgr — загрузчик Windows 7, а также утилиты для работы с загрузчиком, bcdedit.exe и bootsect.exe.
На Windows XP запускаем скрипт. Назначение данного скрипта заключается в установке загрузчика от Windows 7. Добавляем в меню загрузки текущую операционную систему и пункт загрузки для Eset SysRescue.
mkdir c:\boot
attrib +h +s C:\boot
bootsect /NT60 SYS
bcdedit /createstore c:\boot\bcd.temp
bcdedit /store c:\boot\bcd.temp /create {bootmgr} /d «Windows Boot Manager»
bcdedit /import c:\boot\bcd.temp
bcdedit /set {bootmgr} device partition=C:
bcdedit /timeout 10
attrib -h -s C:\boot\bcd.temp
del c:\boot\bcd.temp
copy bootmgr c:\
attrib +h +s C:\bootmgr
rem
Bcdedit /create {ntldr} /d «Microsoft Windows XP»
Bcdedit /set {ntldr} description «Microsoft Windows XP»
Bcdedit /set {ntldr} device partition=C:
Bcdedit /set {ntldr} path \ntldr
Bcdedit /displayorder {ntldr} /addlast
rem
mkdir c:\Tools
mkdir c:\Tools\ESET\
attrib +h +s C:\Tools
rem
bcdedit /create {ramdiskoptions}
bcdedit /set {ramdiskoptions} ramdisksdidevice partition=c:
bcdedit /set {ramdiskoptions} ramdisksdipath \Tools\boot.sdi
for /f «tokens=2 delims={}» %%g in ('bcdedit /create /application osloader /d «ESET SysRescue»') do (set guid={%%g})
bcdedit /set %guid% device ramdisk=[Boot]\Tools\ESET\boot.wim,{ramdiskoptions}
bcdedit /set %guid% osdevice ramdisk=[Boot]\Tools\ESET\boot.wim,{ramdiskoptions}
bcdedit /set %guid% path \windows\system32\winload.exe
bcdedit /set %guid% systemroot \Windows
bcdedit /set %guid% detecthal Yes
bcdedit /set %guid% winpe Yes
bcdedit /displayorder %guid% /addlast
bcdedit /timeout 3
После выполнения скрипта на системном диске (c:\) должны появиться скрытые папки boot и tools, в последней так же должна быть папка eset. Кроме того в корне должен находиться файл bootmgr. В папку tools необходимо скопировать файлы boot.sdi и boot.wim из LiveCD Eset SysRescue. Boot.sdi должен находиться в папке c:\tools\, а boot.wim в :\tools\eset. После того как скопировались файлы, система готова. Можно перезагрузиться и, при необходимости, воспользоваться соответствующим пунктом в меню загрузки.
Для Windows 7/Windows Vista действия аналогичные, за исключением того, что загрузчик устанавливать не нужно.
mkdir c:\Tools
mkdir c:\Tools\ESET\
attrib +h +s C:\Tools
rem
bcdedit /create {ramdiskoptions}
bcdedit /set {ramdiskoptions} ramdisksdidevice partition=c:
bcdedit /set {ramdiskoptions} ramdisksdipath \Tools\boot.sdi
for /f «tokens=2 delims={}» %%g in ('bcdedit /create /application osloader /d «ESET SysRescue»') do (set guid={%%g})
bcdedit /set %guid% device ramdisk=[Boot]\Tools\ESET\boot.wim,{ramdiskoptions}
bcdedit /set %guid% osdevice ramdisk=[Boot]\Tools\ESET\boot.wim,{ramdiskoptions}
bcdedit /set %guid% path \windows\system32\winload.exe
bcdedit /set %guid% systemroot \Windows
bcdedit /set %guid% detecthal Yes
bcdedit /set %guid% winpe Yes
bcdedit /displayorder %guid% /addlast
bcdedit /timeout 3
Собственно и все, можно еще по желанию установить права доступа на папку tools только для пользователя system и переместить меню ESET SysRescue в раздел Tools.
Конечно, специалисты могут изначально настроить системы безопасности должным образом и основательно закрутить гайки где это необходимо, но при этом часто оставляют административные права пользователям, что порой приводит к вирусному заражению системы, связанное с человеческим фактором. Такие ситуации происходят даже в крупных ИТ-компаниях, не говоря об обычных пользователях, которые в большинстве случаев далеки от ИТ.
Можно, конечно, минимизировать риски, но избежать полностью не получится — иначе, зачем нам все эти LiveCD и Rescue Disk. В общем, идея заключается в заблаговременной подготовке к возможным возникновениям таких ситуаций, при этом инструменты для лечения и восстановления системы должны находиться не на съемных носителях, а непосредственно на устройствах: ноутбуках и системных блоках. Одним из примеров может считаться замена WinRE на Microsoft DaRT, но такие инструменты могут использовать не все, а для домашнего пользователя в большинстве случаев они будут излишними. Обычным пользователям нужен более простой и понятный инструмент, к примеру, антивирусное решение для сканирования и лечения системы.
Рассмотрим простой пример реализации такого решения. За основу возьмем использование Eset SysRescue. ESET SysRescue – это дистрибутив LiveCD c антивирусным программным обеспечением, которое может использоваться для очистки зараженного компьютера. Данный выбор обусловлен несколькими причинами, во-первых, он основан на WAIK (Windows Automated Installation Kit), во-вторых, в нем изначально заложена функция обновления антивирусной базы из интернета, в-третьих, при загрузке происходит сразу запуск антивирусного приложения, что упрощает взаимодействие пользователя. Данным дистрибутивом наш выбор не ограничивается – можно использовать и другие решения основанные на WinPE.
Для разворачивания Eset SysRescue на системе с Windows XP нам потребуются: системы с установленной Windows XP; собранный образ Eset SysRescue (инструкция есть на сайте производителя); скрипт с настройкой системой и три файла из системы с windows 7: bootmgr — загрузчик Windows 7, а также утилиты для работы с загрузчиком, bcdedit.exe и bootsect.exe.
На Windows XP запускаем скрипт. Назначение данного скрипта заключается в установке загрузчика от Windows 7. Добавляем в меню загрузки текущую операционную систему и пункт загрузки для Eset SysRescue.
mkdir c:\boot
attrib +h +s C:\boot
bootsect /NT60 SYS
bcdedit /createstore c:\boot\bcd.temp
bcdedit /store c:\boot\bcd.temp /create {bootmgr} /d «Windows Boot Manager»
bcdedit /import c:\boot\bcd.temp
bcdedit /set {bootmgr} device partition=C:
bcdedit /timeout 10
attrib -h -s C:\boot\bcd.temp
del c:\boot\bcd.temp
copy bootmgr c:\
attrib +h +s C:\bootmgr
rem
Bcdedit /create {ntldr} /d «Microsoft Windows XP»
Bcdedit /set {ntldr} description «Microsoft Windows XP»
Bcdedit /set {ntldr} device partition=C:
Bcdedit /set {ntldr} path \ntldr
Bcdedit /displayorder {ntldr} /addlast
rem
mkdir c:\Tools
mkdir c:\Tools\ESET\
attrib +h +s C:\Tools
rem
bcdedit /create {ramdiskoptions}
bcdedit /set {ramdiskoptions} ramdisksdidevice partition=c:
bcdedit /set {ramdiskoptions} ramdisksdipath \Tools\boot.sdi
for /f «tokens=2 delims={}» %%g in ('bcdedit /create /application osloader /d «ESET SysRescue»') do (set guid={%%g})
bcdedit /set %guid% device ramdisk=[Boot]\Tools\ESET\boot.wim,{ramdiskoptions}
bcdedit /set %guid% osdevice ramdisk=[Boot]\Tools\ESET\boot.wim,{ramdiskoptions}
bcdedit /set %guid% path \windows\system32\winload.exe
bcdedit /set %guid% systemroot \Windows
bcdedit /set %guid% detecthal Yes
bcdedit /set %guid% winpe Yes
bcdedit /displayorder %guid% /addlast
bcdedit /timeout 3
После выполнения скрипта на системном диске (c:\) должны появиться скрытые папки boot и tools, в последней так же должна быть папка eset. Кроме того в корне должен находиться файл bootmgr. В папку tools необходимо скопировать файлы boot.sdi и boot.wim из LiveCD Eset SysRescue. Boot.sdi должен находиться в папке c:\tools\, а boot.wim в :\tools\eset. После того как скопировались файлы, система готова. Можно перезагрузиться и, при необходимости, воспользоваться соответствующим пунктом в меню загрузки.
Для Windows 7/Windows Vista действия аналогичные, за исключением того, что загрузчик устанавливать не нужно.
mkdir c:\Tools
mkdir c:\Tools\ESET\
attrib +h +s C:\Tools
rem
bcdedit /create {ramdiskoptions}
bcdedit /set {ramdiskoptions} ramdisksdidevice partition=c:
bcdedit /set {ramdiskoptions} ramdisksdipath \Tools\boot.sdi
for /f «tokens=2 delims={}» %%g in ('bcdedit /create /application osloader /d «ESET SysRescue»') do (set guid={%%g})
bcdedit /set %guid% device ramdisk=[Boot]\Tools\ESET\boot.wim,{ramdiskoptions}
bcdedit /set %guid% osdevice ramdisk=[Boot]\Tools\ESET\boot.wim,{ramdiskoptions}
bcdedit /set %guid% path \windows\system32\winload.exe
bcdedit /set %guid% systemroot \Windows
bcdedit /set %guid% detecthal Yes
bcdedit /set %guid% winpe Yes
bcdedit /displayorder %guid% /addlast
bcdedit /timeout 3
Собственно и все, можно еще по желанию установить права доступа на папку tools только для пользователя system и переместить меню ESET SysRescue в раздел Tools.