1. Локальный проброс порта

Рассмотрим следующую ситуацию. Мы находимся внутри корпоративной сети, у нашего компьютера адрес 192.168.0.2, доступ во внешний мир полностью закрыт (то есть никакого NAT-а, proxy и т.п.). Влиять на политику ограничения доступа у нас возможности нет, но зато есть SSH-доступ на один из серверов с маршрутизируемым IP-адресом, который доступен из Интернет. Внутренний адрес этого сервера, пусть будет для примера 192.168.0.3. Структура сети изображена на рисунке:

Предположим, что нам очень нужно подключиться, к примеру, по SSH на некоторый удалённый сервер с IP-адресом 212.212.212.212 где-то далеко в Интернет. Для этого запускаем PuTTY, создаём SSH-подключение к серверу 192.168.0.3 (далее по тексту SSH-сессия 1), идем в пункт Tunnels:

и указываем, что локальный порт 2222 нашего компьютера должен быть поставлен в соответствие порту 22 на сервере с IP-адресом 212.212.212.212. Далее жмем кнопку «Open», авторизуемся на сервере 192.168.0.3. Затем создаём ещё одно подключение (далее по тексту SSH-сессия 2), но уже на localhost, порт 2222 и жмём кнопку «Open»:В результате SSH-сессия 2 будет туннелироваться (т.е. будет установлена внутри ранее установленной SSH-сессии 1). Для удалённого сервера 212.212.212.212 всё будет выглядеть так, как будто к нему подключается 111.111.111.111:

2. Удалённый проброс порта

В этом случае подключение внутри SSH-туннеля устанавливается в другую сторону – от удаленного сервера на наш локальный компьютер. Может быть полезно, если требуется открыть доступ к локальным сервисам нашего компьютера. Рассмотрим ту же сеть, что и в пункте 1, но для простоты предположим, что теперь у нас есть NAT:

Здесь уже у нас есть возможность подключаться через SSH напрямую к 212.212.212.212 благодаря наличию NAT-а. А вот 212.212.212.212 подключиться на 192.168.0.2 без специальных ухищрений, понятное дело, не сможет, т.к. 192.168.0.2 не подключен к Интернет непосредственно. Предположим, что пользователю, сидящему под X-ами на 212.212.212.212 нужно через remote desktop попасть на наш компьютер 192.168.0.2. Для этого в SSH-сеансе подключения с 192.168.0.2 на 212.212.212.212 нужно изменить настройки в разделе Tunnels следующим образом:

В результате после успешной авторизации на 212.212.212.212 можно увидеть следующее:

То есть sshd ожидает подключений на TCP-порт 3333, которые затем по SSH-туннелю будут перенаправлены на 192.168.0.2 порт 3389. И юзер сидящий за 212.212.212.212 сможет с помощью rdesktop увидеть наш рабочий стол:

3. Socks-proxy

В этом случае мы можем использовать сервер с SSH-демоном как промежуточный (proxy). Схема сети как в случае #1 (без NAT и штатных прокси):

Чтобы заставить PuTTY испольнять роль socks-прокси, нужно параметры SSH-сессии с 192.168.0.2 на 192.168.0.3 изменить следующим образом:
В результате после успешной авторизации со стороны клиента можно будет наблюдать следующее:

То есть putty, выполняющийся с PID-ом 2392, начинает слушать порт 1080, ожидая подключений. Далее берем любое приложение, умеющее работать с SOCKS-прокси, например Firefox, и указываем ему использовать наш прокси:
Теперь все запросы от броузера будут проходить через сервер 192.168.0.3. В логах веб-сайтов, по которым мы таким образом будем ходить, будет отображаться внешний IP-адрес нашего сервера – 111.111.111.111.

P.S. Из help-файла Putty 0.58:
Question A.10.3: What does ‘PuTTY’ mean?
It’s the name of a popular SSH and Telnet client. Any other meaning is in the eye of the beholder. It’s been rumoured that ‘PuTTY’ is the antonym of ‘getty’, or that it’s the stuff that makes your Windows useful… :)

Похожие заметки:

1. Полезные команды windows Ниже приведены некоторые полезные для системных администраторов команды, которые можно использовать в .bat-файлах и различных скриптах для автоматизации. Посмотреть ip-адреса...
2. Remote syslog из Windows Для реализации сабжа можно использовать утилиту logger.exe. Пример: echo "This is a test message" | logger.exe -l 10.20.30.40 -m udp...
3. Сброс пароля администратора в Windows – Кто такой фармацевт? – Это тот, кто частенько форматирует диск С:\ Представим себе ситуацию, когда нам в админское хозяйство...

До:

После:

Проверялось на версии 2.0 build 1279 x86. На форуме поддержки FAR-а говорят также, что данную проблему можно исправить с помощью conemu.

При попытке воспроизвести DVD-фильм "Белоснежка и семь гномов" ("платиновая" коллекция) пользователь может столкнуться с искажением или нечеткостью звучания и изображения, а также с ошибкой программы проигрывателя DVD. Это происходит, поскольку драйвер UDF (UDFS.sys) в Windows 2000 не способен правильно воспринимать нестандартную схему защиты от копирования, использованную для DVD-фильма "Белоснежка и семь гномов" ("платиновая" коллекция).

Полное описание проблемы можно почитать на официальном сайте Microsoft. А также скачать патч для устранения сего безобразия.

Примечательно, что дата публикации сего материала отнюдь не 1-ое апреля :)

Спасибо Malinе за предупреждение о существовании такой серъезной проблемы :)

Похожие заметки:

1. Полезные команды windows Ниже приведены некоторые полезные для системных администраторов команды, которые можно использовать в .bat-файлах и различных скриптах для автоматизации. Посмотреть ip-адреса...
2. Remote syslog из Windows Для реализации сабжа можно использовать утилиту logger.exe. Пример: echo "This is a test message" | logger.exe -l 10.20.30.40 -m udp...
3. Сброс пароля администратора в Windows – Кто такой фармацевт? – Это тот, кто частенько форматирует диск С:\ Представим себе ситуацию, когда нам в админское хозяйство...

Особенно заслуживает внимания конструкция FOR /F "skip=3 tokens=3" %%I IN (%TMP%), которая представляет собой некоторый аналог связки команд tail и awk (или cut) в Unix-системах. Ключ skip=3 означает, что в файле %TMP% будет пропущено первые 3 строки, а tokens=3, означает, что в параметр цикла %%I будет подставлена 3-яя по счету подстрока в 4-ой строке файла (подстроки по умолчанию разделяются пробелами). Так что даже не имея под рукой любимого bash-а, в Windows можно как-то выкрутиться, всего-то почитав хелп «for /?» :)

Похожие заметки:

1. Полезные команды windows Ниже приведены некоторые полезные для системных администраторов команды, которые можно использовать в .bat-файлах и различных скриптах для автоматизации. Посмотреть ip-адреса...
2. hobocopy – копирование файлов, которые используются в данный момент Оригинальное название статьи – ‘Backup/Copy Files that are «In Use» or «Locked» in Windows’. Если Вы когда-то пробовали скопировать файл,...

• Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам – на основании анализа реестра, файлов на диске и в памяти.
• Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" – безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
• Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно – известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
• Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
• Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
• Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
• 
  

  Диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, сервисов и драйверов. На работу диспетчера процессов распространяется действие анти-руткита (т.е он "видит" и маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;

• Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие – поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
• Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие – поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
• Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы – при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
• Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
• Встроенный анализатор Downloaded Program Files (DPF) – отображает элементы DPF, подключен ко всем сситемам AVZ.
• Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
• Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
• Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
• Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
• Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
• Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
• Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
• Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
• Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
• Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.

• Посмотреть ip-адреса сетевых интерфейсов:
  1. netsh interface ip show address
• Поменять ip-адрес интерфейса с именем Internal на 192.168.1.42, установить маску подсети 255.255.254.0 (/23) и установить шлюз по умолчанию 192.168.1.1 с метрикой 1:
  1. netsh interface ip set address name="Internal" static 192.168.1.42 255.255.254.0 192.168.1.1 1
• Установить для интерфейса с именем Internal DNS-сервера 192.168.1.10 и 192.168.1.11:
  1. netsh interface ip set dns name="Internal" static 192.168.1.10
  2. netsh interface ip add dns "Internal" 192.168.1.11
• Получить mac-адреса сетевых интерфейсов:
  1. getmac
• Командый файл для закачки множества файлов с похожими именами (в результате в текущую директорию будут скачиваться файлы по ссылкам http://avz.org.ua/wp/films/Univer_1.avi, http://avz.org.ua/wp/films/Univer_2.avi, …, http://avz.org.ua/wp/films/Univer_20.avi):
  1. @echo off
  2. set URL=http://avz.org.ua/wp/films/Univer
  3. FOR /L %%I IN (1,1,20) DO wget %URL%_%%I.avi

  Обратите внимание, что переменная цикла должна состоять из одной буквы, иначе работать не будет, выдавая ошибку типа «Непредвиденное появление: %Ind» (у меня полчаса ушло, чтобы понять в чем косяк, когда я пытался использовать Ind в качестве итератора :/ Зато help по команде FOR перечитал вдоль и поперек :) пока пытался постичь сей феномен). Утилитку wget под windows можно скачать, например, здесь.

• Узнать размер файла: создаем файл, к примеру, с именем flen.bat следующего содержания
  1. set FLEN=%~z1
  2. echo %FLEN%

  Запускаем файл flen.bat, передавая ему в качестве аргумента имя файла, размер которого хотим получить. Подробнее о конструкциях, подобных %~z1 можно почитать в справке по команде call, набрав в командной строке call /?

• Переименование файлов в текущем каталоге с заданным расширением так, чтобы имена образовали последовательность чисел, начиная с заданного:
  1. @echo off
  2. if .%1==. goto usage
  3. set n=%2
  4. if .%n%==. set n=0
  5. set tempdir=$tmp$.$x$
  6. mkdir %tempdir%
  7. for %%i in (%1) do call :renfile %%i
  8. move %tempdir%\%1 . >nul
  9. rmdir %tempdir%
  10. goto :EOF
  11.  
  12. :renfile
  13. move %1 %tempdir%\%n%%~x1 > nul
  14. set /a n+=1
  15. goto :EOF
  16.  
  17. :usage
  18. echo USAGE: RENUM *.jpg ^<start number^>

  Конструкция %~x1 выделяет из переменной %1 (1-ый параметр командного файла) фрагмент имени файла, соответствующий его расширению (см. call /?). Метка :EOF означает конец файла.

• Экспортирование определённого раздела реестра в файл с именем putty.reg:
  1. regedit /e putty.reg "HKEY_CURRENT_USER\Software\SimonTatham\PuTTY"

Похожие заметки:

1. Диагностика сетевых проблем Любой сисадмин рано или поздно сталкивается с ситуацией, когда юзер, который обращается с жалобами на проблемы, весьма далек от технических...
2. Remote syslog из Windows Для реализации сабжа можно использовать утилиту logger.exe. Пример: echo "This is a test message" | logger.exe -l 10.20.30.40 -m udp...
3. Сброс пароля администратора в Windows – Кто такой фармацевт? – Это тот, кто частенько форматирует диск С:\ Представим себе ситуацию, когда нам в админское хозяйство...

При этом вся информация о пользователях системы будет утрачена, а вход в учетную запись «Администратор» будет возможен с пустым паролем.

Информация получена от технической поддержки Liga.

Похожие заметки:

1. Сброс пароля администратора в Windows – Кто такой фармацевт? – Это тот, кто частенько форматирует диск С:\ Представим себе ситуацию, когда нам в админское хозяйство...

Представим себе ситуацию, когда нам в админское хозяйство «по наследству» достается неизвестно кем построенный и неизвестно кем поддерживаемый в прошлом сервер с Windows XP или Windows 2003, пароля администратора от которого мы, конечно же, не знаем. И на сервере крутится архиважная софтина, которая нужна всей конторе, поэтому просто взять и переставить заново винду нельзя (да и не хочется, учитывая весь последующий головняк с поиском и установкой драйверов, настройкой софта, тюнингом и т.д.). Вот тогда нам и пригодится описанный ниже способ сброса / замены пароля администратора.

1. Качаем замечательную тулзу – Offline NT Password & Registry Editor.
2. Записываем скачанный iso-образ на диск, грузимся с него.
3. Следуем инструкциям программы (нужно будет указать путь к файлам реестра, они лежат в директории %windir%\system32\config).

Можно как сбросить пароль, так и поменять его на новый (при этом знать старый, естественно, не нужно).

Если винда была установлена на RAID-массив и Offline NT Password & Registry Editor не видит этот RAID-массив, то в качестве обходного маневра можно сделать так.

1. Добавить в сервер дополнительный винчестер, поставить на него другую винду №2, загрузиться в нее.
2. Найти и установить драйвера для RAID-массива, добиться видимости из винды №2 раздела с виндой №1.
3. Скопировать из винды №1 содержимое директории %windir%\system32\config и положить его куда-то, где Offline NT Password & Registry Editor сможет его найти.
4. Пропатчить файлы тулзой.
5. Положить пропатченные файлы на место в %windir%\system32\config винды №1.
6. Загрузиться в винду №1 и наслаждаться возможностью входа под учетной записью администратора :)

В моем случае изменения были замечены только в файле с именем SAM.

Перед использованием настоятельно рекомендую ознакомиться с документацией на сайте автора.

Похожие заметки:

1. Сброс пароля администратора в системе «ЛИГА-Закон» Чтобы сбросить пароль администратора в системе Liga, нужно в директорииc:\program files\liga70\data удалить файлы ubd.dat и ubd.idx. При этом вся информация...
2. Программный RAID в Linux Есть программный RAID-массив уровня 1. Однажды сервер прислал письмо, что с RAID-ом проблемы: Date: Mon, 14 Jun 2010 11:18:44 +0300...
3. PuTTY: делаем Windows полезным В данной статье будет описано как строить SSH-туннели с помощью PuTTY. 1. Локальный проброс порта Рассмотрим следующую ситуацию. Мы находимся...

Если Вы когда-то пробовали скопировать файл, который используется другим приложением, Вы могли видеть сообщение об ошибке типа «The process cannot access the file because another process has locked a portion of the file». Начиная с Windows XP, поддерживается технология Volume Shadow Copy (в русской версии соответствующий сервис называется «Теневое копирование тома»), которая используется для реализации фич Previous versions («Предыдущие версии») в Vista, System Restore («Восстановление системы») и бекапов. Суть в том, что создается временный «снимок» файла или раздела, а затем приложению дается возможность чтения этого «снимка», даже если другие приложения читают или даже модифицируют данный файл. Одна из полезных утилит, которая использует технологию Volume Shadow Copy, называется HoboCopy. Для ее работы должен также быть запущен сервис «Microsoft Software Shadow Copy Provider».

Копиривание одного файла
Ситнаксис командной строки:

Например, если мы хотим скопировать файл c:\users\vasya\mail\outlook.pst в d:\backups\outlook.pst, то команда будет следующая:

Копирование директории
Можно также скопировать сразу всю директорию, в этом случае нужно использовать опции /full, /r (рекурсивное копирование) и /y (не спрашивать подтверждения).

Пример:

Инкрементальное копирование
А для регулярного копирования целого раздела пригодятся опции /incremental (копировать только файлы, измененные с момента последнего полного копирования) и /statefile (указывается путь к файлу, содержащему служебную информацию о последнем бекапе).

Пример:

При первом запуске вместо /incremental следует использовать /full чтобы создался файл состояния.

Утилиту скачать можно здесь.

Похожие заметки:

1. Раздаем права в samba по IP-адресу Представим ситуацию: есть samba-пользователь vasya, который ходит на samba-сервер с компьютеров с IP-адресами 172.16.0.7 и 172.16.0.13, и нужно сделать так,...
2. Удаление всех файлов, расширения которых не входят в заданный список Есть задача – удалять из заданных директорий все файлы кроме тех, «расширения» которых входят в заданный список: .mp3 .mp3_env .mp3_dig...
3. Детальное логирование в Samba Иногда ну очень нужно узнать кто же создал или удалил определенный файл с файлового сервера. Стандартный лог-файл, который Samba пишет...

10.20.30.40 – это IP-адрес машины с демоном syslogd/rsyslogd, настроенным на прием сообщений с удаленных хостов (для чего демон должен быть запущен с ключом -r). В firewall-е должен быть открыт udp-порт 514.

Может пригодится для отслеживания IP-адреса машинок, у которых он динамически меняется с каждым новым сеансом:

Подразумевается, что на windows-машинке есть win32-бинарники утилит grep, tail, gawk, sed. Скачать можно здесь.

1. PuTTY: делаем Windows полезным В данной статье будет описано как строить SSH-туннели с помощью PuTTY. 1. Локальный проброс порта Рассмотрим следующую ситуацию. Мы находимся...
2. Полезные команды windows Ниже приведены некоторые полезные для системных администраторов команды, которые можно использовать в .bat-файлах и различных скриптах для автоматизации. Посмотреть ip-адреса...
3. Сброс пароля администратора в Windows – Кто такой фармацевт? – Это тот, кто частенько форматирует диск С:\ Представим себе ситуацию, когда нам в админское хозяйство...