Data from the client device gathered by the SnSDumpTool utility

Материал из SafenSoft Wiki
Перейти к: навигация, поиск

Данные с клиентской машины, собираемые утилитой SnSDumpTool

SnSDumpTool собирает в системе следующие данные:

  • DevInfo\ — директория с основными данными. В ней:
    • Client\ — папка, содержащая все файлы из установочной директории SysWatch;
    • Drivers\ — копии актуальных драйверов SnS из %SYSTEM32%\drivers\;
    • Minidump\ — минидампы от падений Windows (если есть);
    • OS Events\ — журналы событий Windows в формате evt/evtx;
    • Safe'n'Sec\ — копия всей директории данных со всеми отчетами, карантином, логами и прочим;
    • S.N.Safe&Software.reg, Services.reg, SnS Soft.reg, Uninstall.reg — файлы с экспортированными ветками реестра, относящимися к SysWatch;
    • Config.xmlc — выгрузка конфигурации SysWatch в файл;
    • Несколько .txt-файлов с очевидными названиями, результаты конвертации WMI-журналов.
  • WinAudit\ — папка с данными, собранными одноименной утилитой, в ней файлы system.txt с подробными данными о системе, оборудовании и программах, и log.txt — лог работы самой утилиты.

При невозможности запустить SnSDumpTool нужно при помощи средств удаленного доступа собрать следующие данные о машине:

  1. Выписать сведения о версии ОС, сервис-паке, процессоре, объеме ОЗУ, объеме раздела C:, производителе банкомата.
  2. Скопировать директорию данных SysWatch, содержащую файлы отчетов, бэкап настроек, историю приложений, карантин.
    1. для Windows xp:

      2. C:\Documents and Settings\All Users\Application Data\S.N.Safe&Software\

    2. для Windows 7:

      3. C:\ProgramData\S.N.Safe&Software\

  3. Скопировать журналы аудита Windows в формате evt/evtx/.
    1. для Windows XP: в директории C:\Windows\system32\config\ файлы AppEvent.evt и SysEvent.evt.
    2. для Windows 7 и выше: в директории C:\Windows\system32\winevt\logs\ файлы Application.evtx и System.evtx.

Обычно этих данных достаточно для анализа проблемы. В случае необходимости выявить причины точнее нам может потребоваться что-либо из нижеперечисленного:

  1. Установочная директория SysWatch. C:\Program Files\SafenSoft\SysWatch\. В случае 64-разрядных систем: C:\Program Files (x86)\SafenSoft\SysWatch\
  2. Драйверы. В директории C:\Windows\System32\drivers\ файлы snscore.sys, snscomlpt.sys, snstdi.sys (файл присутствует только на Windows XP), snswfp.sys (файл присутствует только на Windows 7 и старше), snscore.pi .
  3. При наличии доступа к реестру и возможности экспортировать ветки реестра выгрузите следующие ветви.

    4. HKLM\SOFTWARE\S.N.Safe&Software

    HKLM\SOFTWARE\SnS Soft

    HKLM\SYSTEM\CurrentControlSet\Services

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

    HKEY_CLASSES_ROOT\Installer\Features

    HKEY_CLASSES_ROOT\Installer\Products

  4. Дампы, созданные при падении ОС:
    5. Все файлы из C:\Windows\Minidump\ и файл C:\Windows\MEMORY.DMP.
Источник — «http://kb.safensoft.com/index.php?title=Data_from_the_client_device_gathered_by_the_SnSDumpTool_utility&oldid=509»