Особенности работы средства проверки системных файлов SFC.exe в среде Windows RE

Использование SFC для проверки целостности и исправления системных файлов Windows 10

Многим пользователям знакома команда проверки целостности системных файлов sfc /scannow которая автоматически проверяет и исправляет защищенные системные файлы Windows 10.

Для запуска команды стандартно используется командная строка, запущенная от имени администратора (запустить командную строку от администратора в Windows 10 можно через меню правого клика мыши по кнопке «Пуск»), вводим в нее sfc /scannow и нажимаем Enter.

После ввода команды, начнется проверка системы, по результатам которой найденные ошибки целостности, которые можно исправить (о том, какие нельзя — далее) будут автоматически исправлены, а в случае их отсутствия вы получите сообщение о том, что «Защита ресурсов Windows не обнаружила нарушений целостности».

Также имеется возможность проверить целостность конкретного системного файла, для этого можно использовать команду sfc /scanfile=”путь_к_файлу”.

Однако при использовании команды есть один нюанс: SFC не может исправить ошибки целостности для тех системных файлов, которые используются в настоящий момент времени. Чтобы решить проблему, можно запустить SFC через командную строку в среде восстановления Windows 10.

Запуск проверки целостности Windows 10 с помощью SFC в среде восстановления

Для того, чтобы загрузиться в среде восстановления Windows 10, вы можете использовать следующие способы:

1. Зайти в Параметры — Обновление и безопасность — Восстановление — Особые варианты загрузки — Перезагрузить сейчас. (Если пункт отсутствует, то вы можете также использовать такой метод: на экране входа в систему, кликните по значку «вкл» справа внизу, а затем, удерживая Shift, нажмите «Перезагрузка»).
2. Загрузиться с заранее созданного диска восстановления Windows.
3. Загрузиться с установочного диска или загрузочной флешки с дистрибутивом Windows 10, а в программе установки, на экране после выбора языка, слева внизу выбрать «Восстановление системы».

После этого, зайдите в «Поиск и устранение неисправностей» — «Дополнительные параметры» — «Командная строка» (в случае если вы использовали первый из указанных выше способов, вам также потребуется ввести пароль администратора Windows 10). В командной строке по порядку используйте следующие команды:

1. diskpart
2. list volume

В результате выполнения второй команды, вы увидите список томов. Запомните буквы томов, соответствующие диску «Зарезервировано системой» (с загрузчиком) и системному разделу с Windows 10 (поскольку, вероятнее всего, эти буквы будут отличаться от тех, что вы видите в проводнике). Продолжите ввод команд:

1. exit
2. sfc /scannow /offbootdir=C:\ /offwindir=E:\Windows (где C — раздел с загрузчиком, а E:\Windows — путь к папке Windows 10, у вас буквы могут отличаться).

Запустится сканирование целостности системных файлов операционной системы, при этом в этот раз команде SFC будет доступно восстановление всех файлов. Сканирование может продолжаться в течение значительного времени — пока мигает указатель подчеркивания, ваш компьютер или ноутбук не завис. По завершении закройте командную строку и перезагрузите компьютер в обычном режиме.

Что такое sfc scannow

Практически – это программа, которая, как и многие из других системных располагается в папке

C:\Windows\System32

и является неотъемлемой частью механизма защиты ресурсов Windows, который охраняет реестровые ключи и отдельные параметры от поражения (равно как и критически важные системные файлы). Если только после запуска утилиты та обнаружит изменения в этих файлах или параметрах, она – утилита – приступит (по команде пользователю) к исправлению ситуации. Для этого сама Windows всегда держит кэшированную копию файлов в системной папке с одноимённым названием. Есть желание – взгляните:

C:\Windows\winsxs\Backup

SFC в среде Windows

Для выполнения подобной проверки в Windows достаточно запустить командную строку с правами администратора и выполнить:

sfc /scannow

Ниже приводится таблица с синтаксисом утилиты и с пояснением значений используемых ключей.

Таблица 1 — Синтаксис утилиты sfc.exe

Как восстановить хранилище системных файлов с помощью DISM

DISM – это программа для развёртывания и обслуживания образов операционной системы Windows 10. С ее помощью можно найти и устранить проблемы с хранилищем системных файлов Windows 10 из которого программа проверки целостности копирует правильные версии системных файлов.

Программу DISM стоит использовать в тех случаях, когда проверка целостности с помощью SFC не смогла исправить найденные ошибки. В этом случае нужно проверить хранилище с помощью DISM и повторно проверить целостность системных файлов с помощью SFC.

Как и в случае SFC, для того чтобы использовать DISM вам понадобиться командная строка с правами админа. Откройте ее так, как это было описано в начале статьи. После открытия командной строки вам нужно выполнить следующую команду:

dism /Online /Cleanup-Image /RestoreHealth

Данная команда запустит проверку хранилища системных файлов и автоматически исправит найденные ошибки. Нужно отметить, что процесс проверки может на некоторое время «зависать», это нормально не завершайте работу программы.

Также для работы с DISM вам могут понадобиться следующие команды:

• dism /Online /Cleanup-Image /CheckHealth – вывод информации о текущем состоянии компонентов Windows 10. Эта команда не выполняет проверку, а только выводит уже имеющуюся информацию.
• dism /Online /Cleanup-Image /ScanHealth – проверка хранилища системных файлов без исправления найденных ошибок. Как и первая команда, может «зависать» в процессе работы.

Если по какой-то причине DISM не может исправить имеющиеся проблемы, то вы можете использовать смонтированный образ диска Windows 10 в качестве источника оригинальных файлов. Для этого программе нужно указать на файл install.wim (или esd), который находится на диске. Делается это при помощи вот такой команды:

dism /Online /Cleanup-Image /RestoreHealth /Source:wim:файл_wim:1 /limitaccess

При этом строчку «файл_wim» нужно заменить на путь к wim-файлу на смонтированном диске Windows 10. А при использовании esd-файла все «wim» внутри команды нужно заменить на «esd».

С результатами работы программы DISM можно ознакомиться, просмотрев жернал выполненных действий. Он сохраняется в файлах «Windows\Logs\DISM\dism.log» и «Windows\Logs\CBS\CBS.log».

Также нужно отметить, что программу DISM можно запускать с помощью PowerShell. В этом случае используется команда «Repair-WindowsImage». Например, с помощью «Repair-WindowsImage -Online -ScanHealth» можно проверить наличие ошибок, а с помощью «Repair-WindowsImage -Online -RestoreHealth» выполнить проверку и исправить найденные ошибки.

В заключении материла еще раз напомним, что программа DISM проверяет хранилище системных файлов Windows 10, а не сами используемые файлы. Поэтому после проверки хранилища нужно повторить проверку целостности системных файлов с помощью SFC, так как это описано в начале статьи.

Управление плохими блоками

Наличие
дефектных блоков на диске — обычное
дело. Внутри блока наряду с данными
хранится контрольная сумма данных. Под
«плохими» блоками обычно понимают
блоки диска, для которых вычисленная
контрольная сумма считываемых данных
не совпадает с хранимой контрольной
суммой. Дефектные блоки обычно появляются
в процессе эксплуатации. Иногда они уже
имеются при поставке вместе со списком,
так как очень затруднительно для
поставщиков сделать диск полностью
свободным от дефектов. Рассмотрим два
решения проблемы дефектных блоков —
одно на уровне аппаратуры, другое на
уровне ядра ОС.

Первый
способ — хранить список плохих блоков
в контроллере диска. Когда контроллер
инициализируется, он читает плохие
блоки и замещает дефектный блок резервным,
помечая отображение в списке плохих
блоков. Все реальные запросы будут идти
к резервному блоку. Следует иметь в
виду, что при этом механизм подъемника
(наиболее распространенный механизм
обработки запросов к блокам диска) будет
работать неэффективно. Дело в том, что
существует стратегия очередности
обработки запросов к диску (подробнее
см. лекцию «ввод-вывод»). Стратегия
диктует направление движения считывающей
головки диска к нужному цилиндру. Обычно
резервные блоки размещаются на внешних
цилиндрах. Если плохой блок расположен
на внутреннем цилиндре и контроллер
осуществляет подстановку прозрачным
образом, то кажущееся движение головки
будет осуществляться к внутреннему
цилиндру, а фактическое — к внешнему.
Это является нарушением стратегии и,
следовательно, минусом данной схемы.

Решение
на уровне ОС может быть следующим. Прежде
всего, необходимо тщательно сконструировать
файл, содержащий дефектные блоки. Тогда
они изымаются из списка свободных
блоков. Затем нужно каким-то образом
скрыть этот файл от прикладных программ.

Результаты проверки sfc scannow

Результаты работы утилиты будут сопровождаться некоторыми сообщениями в зависимости от того, успешно ли прошло восстановление или в работе произошёл сбой. Но сразу запомните: не торопитесь паниковать в случае неудачных выводов утилиты. Запустите sfc.exe несколько раз и в разных режимах.

Для завершения восстановления системы требуется перезагрузка. Перезапустите систему Windows и выполните sfc ещё раз:

Окно означает, что в текущем сеансе окно консоли можно закрыть: утилита запустится только после ПЕРЕЗАГРУЗКИ ( после ВЫКЛЮЧЕНИЯ компьютера ситуация может повториться). Причина сообщения ясна – файлы кэша в данную минуту обрабатываются системой (“заняты” каким-то процессом/ами: Windows элементарно ждёт применения только что установленных обновлений).

Проблема, которую вы пытаетесь разрешить, лежит, по-видимому, в иной плоскости.

Защита ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила. 

Наиболее частое повреждение файлов – либо неправильная работа (а чаще удаление) сторонних программ в/из Windows, а также сбои в работе жёсткого диска (см. “Плохие секторы жёсткого диска“). И утилита частично эти проблема разрешила, подменив на исходные. Настоятельно рекомендую взглянуть на лог утилиты по адресу в консоли – там могут быть интересные детали для разрешения вероятных в последующем ошибок:

C:\Windows\Logs\CBS\CBS.log

• Защита ресурсов Windows обнаружила поврежденные файлы, но не может восстановить некоторые из них. При этом система отправляет вас в лог программы за подробностями. Реже, но также встречается ещё более категорическое 
• Защита ресурсов Windows не может выполнить запрошенную операцию.

Большинство пользователей подобное “заявление” ставит в тупик. Я могу предложить вам несколько вариантов действий:

Сразу проверяем готовность соответствующей службы. Набираем (в cmd иди строке Найти/Выполнить) команду на открытие консоли

services.msc

Ищем в списке служб Установщик модулей Windows. Тип запуска: Вручную.

Проверьте, на месте ли папки (и не пусты ли они) PendingDeletes и PendingRenames в директории

C:\Windows\WinSxS\Temp

Повторите операцию по запуску sfc /scannow, но уже в Безопасном режиме. Запуск Windows в щадящем режиме можно запланировать прямо сейчас из другой системной утилиты msconfig:

Если результат окажется тем же, возможно попробовать сдвинуть запуск утилиты восстановления ещё ближе к запуску Windows: на этот раз sfc /scannow может проверить файлы ещё до загрузки системы. Однако для этого вам потребуется загрузочный носитель с той копией Windows, которая у вас установлена:

вставьте загрузочный диск/флешку

удостоверьтесь, что система на жёстком диске видна с флешки/дисковода

Обратите внимание на букву Локального диска (D) в столбце Папка: запомните её!

ищем консоль в параметрах восстановления

и вводим команду на офлайн проверку вашей Windows:

sfc /scannow /offbootdir=d:\ /offwindir=d:\windows

где d – имя локального диска на компьютере/ноутбуке

Обратите внимание: эта команда позволит вам проверять внешние носители с установленной Windows

Самоконтроль

Команда sfc традиционно используется для указанных целей. К сожалению, нам не сообщается полный диапазон её возможностей. Так например, говорится, что файлы могут быть восстановлены. Но каким образом? Из специального раздела системы? Если это так, то зачем вообще делать «откат»? Все библиотеки можно было бы переписать и без этого.

Команда запускается из командной строки от имени админа (Win + X и выбор нужной опции). Все параметры помощи написаны по-русски, мы не собираемся их перепечатывать. Прочитайте сами:

1. Win + X.
2. Запуск строки.
3. Введите sfc без параметров для получения помощи.

Из отмеченных опций упомянем offbootdir и offwindir. Они используются при работе офф-лайн (без сети). Но десятка содержит по умолчанию каталог восстановления размером от 4 до 6 ГБ, откуда возьмёт все необходимые копии. Понятно, что этот метод менее надёжный, чем сетевой. Поэтому и рекомендуют эти ключи опускать. Таким образом для полной проверки и исправления нужно записать: sfc /scannow. Также можно выполнять тестирование по одному файлу (см. скрин), если появляется такая необходимость. Скорее всего, большей части наших читателей все прочие записи, помимо основной, никогда не понадобятся.

Логи работы ПО находятся по адресу C:\Windows\Logs\CBS. Но рыться в них неблагодарное дело. Проще сделать откат.

Кэширование

Кэш
диска представляет собой буфер в
оперативной памяти, содержащий ряд
блоков диска (см. рис.
12.12). Если имеется запрос на
чтение/запись блока диска, то сначала
производится проверка на предмет наличия
этого блока в кэше. Если блок в кэше
имеется, то запрос удовлетворяется из
кэша, в противном случае запрошенный
блок считывается в кэш с диска. Сокращение
количества дисковых операций оказывается
возможным вследствие присущего ОС
свойства локальности (о свойстве
локальности много говорилось в лекциях,
посвященных описанию работы системы
управления памятью).

Аккуратная
реализация кэшированиятребует
решения нескольких проблем.

Во-первых,
емкость буфера кэша ограничена. Когда
блок должен быть загружен в заполненный
буфер кэша, возникаетпроблема замещенияблоков, то есть отдельные блоки должны
быть удалены из него. Здесь работают те
же стратегии и те же FIFO, Second Chance и
LRU-алгоритмы замещения, что и при
выталкивании страниц памяти.

Рис.
12.12.Структура блочного кэша

Замещение
блоков должно осуществляться с учетом
их важности для файловой системы. Блоки
должны быть разделены на категории,
например: блоки индексных узлов,
блоки косвенной адресации, блоки
директорий, заполненные блоки данных
и т

д., и в зависимости от принадлежности
блока к той или иной категории можно
применять к ним разную стратегию
замещения.

Во-вторых,
посколькукэшированиеиспользует
механизм отложенной записи, при котором
модификация буфера не вызывает немедленной
записи на диск, серьезной проблемой
является «старение» информации в
дисковых блоках, образы которых находятся
в буферном кэше. Несвоевременнаясинхронизациябуфера кэша и диска
может привести к очень нежелательным
последствиям в случае отказов оборудования
или программного обеспечения. Поэтому
стратегия и порядок отображения
информации из кэша на диск должна быть
тщательно продумана.

Так,
блоки, существенные для совместимости
файловой системы (блоки индексных
узлов, блоки косвенной адресации,
блоки директорий), должны быть переписаны
на диск немедленно, независимо от того,
в какой части LRU-цепочки они находятся.
Hеобходимо тщательно выбрать порядок
такого переписывания.

В
Unix имеется для этого вызов SYNC, который
заставляет все модифицированные блоки
записываться на диск немедленно. Для
синхронизации содержимого кэша и диска
периодически запускается фоновый
процесс-демон. Кроме того, можно
организовать синхронный режим работы
с отдельными файлами, задаваемый при
открытии файла, когда все изменения в
файле немедленно сохраняются на диске.

Наконец,
проблема конкуренции процессов на
доступ к блокам кэша решается ведением
списков блоков, пребывающих в различных
состояниях, и отметкой о состоянии блока
в его дескрипторе. Например, блок может
быть заблокирован, участвовать в операции
ввода-вывода, а также иметь список
процессов, ожидающих освобождения
данного блока.

Проверка и восстановление системных файлов с помощью DISM.exe

Утилита для развертывания и обслуживания образов Windows DISM.exe позволяет выявить и исправить те проблемы с теми поврежденными системными файлами, с которыми не справилась команда SFC. Также, имеет смысл использовать этот инструмент, если SFC не обнаруживает нарушений целостности файлов Windows 10, но у вас есть веские основания полагать, что такие нарушения имеются.

Для использования DISM.exe, запустите командную строку от имени администратора (через правый клик по кнопке «Пуск»). После чего можно использовать следующие команды:

• dism /Online /Cleanup-Image /CheckHealth — для получения информации о состоянии и наличии повреждений компонентов Windows. При этом сама проверка не производится, а лишь проверяются ранее записанные значения. 
• dism /Online /Cleanup-Image /ScanHealth — проверка целостности и наличия повреждений хранилища компонентов. Может занять продолжительное время и «зависать» в процессе на 20 процентах. 
• dism /Online /Cleanup-Image /RestoreHealth — производит и проверку и автоматическое восстановление системных файлов Windows, также как и в предыдущем случае, занимает время и останавливается в процессе. 

Примечание: в случае, если команда восстановления хранилища компонентов не работает по той или иной причине, вы можете использовать файл install.wim (или esd) со смонтированного ISO образа Windows 10 (Как скачать Windows 10 ISO с сайта Microsoft) в качестве источника файлов, требующих восстановления. Сделать это можно с помощью команды:

dism /Online /Cleanup-Image /RestoreHealth /Source:wim:путь_к_файлу_wim:1 /limitaccess

Вместо .wim можно использовать файл .esd тем же образом, заменив в команде все wim на esd.

При использовании указанных команд, журнал выполненных действий сохраняется в Windows\Logs\CBS\CBS.logи Windows\Logs\DISM\dism.log.

DISM.exe также можно использовать в Windows PowerShell, запущенном от имени администратора с помощью команды Repair-WindowsImage. Примеры команд:

• Repair-WindowsImage -Online -ScanHealth — проверка наличия повреждений системных файлов.
• Repair-WindowsImage -Online -RestoreHealth — проверка и исправление повреждений.

Как видите, проверка целостности файлов в Windows 10 — не такая уж и сложная задача, которая порой может помочь исправить самые разные проблемы с ОС. Если не смогла, возможно, вам поможет что-то из вариантов в инструкции Восстановление Windows 10.

Восстановление файлов из списка логов sfc вручную.

Напоминаю, что логи sfc содержат в себе только информацию о СИСТЕМНЫХ файлах: часто эта программа бесполезна против части подгружаемых со стороны библиотек DirectX, .Net и прочего. Исправит она и не все файлы для установленных программ, если такая беда случится. 

Но если логами sfc битый или пустой/отсутствующий файл зафиксирован, его можно исправить. Повторяю: если вы сидите в Windows 10, у вас есть более быстрый вариант. Тут же в cmd наберите:

dism /online /cleanup-image /restorehealth

В Windows 7 придётся попотеть. Сначала получите к нему доступ и права на работу с файлом:

takeown /f полный-путь-к-файлу/папке

и

icacls полный-путь-к-файлу/папке /GRANT ADMINISTRATORS:F

Например, система обнаружила повреждение файла System.Management.Automation.dll и не смогла его починить.

откройте в новой вкладке

Попробуем его отыскать. В логах приводится подробная о нём информация. Для таких целей идеально подходит средство поиска файлов из консоли же:

cd\
dir имя-файла /s

Консоль, скорее всего, выдаст несколько вариантов (заметьте, что нередко в Windows папка таковой не является – это может быть всего лишь системный узел или вид “с нескольких ракурсов”). Так что, опираясь на логи, откиньте ненужные результаты. Если всё ещё не удаётся его вычленить, используйте повторную проверку каждого из “подозреваемых” с помощью той же sfc.exe в формате (смотрите справку):

sfc /verifyfile=полный-путь-к-файлу

Остаётся обнаружить и заполучить искомый файл. Для того есть несколько способов:

• взять у друга с такой же Windows (попросить на добропорядочном форуме)
• скачать аккуратно из сети, не нарвавшись на бяку
• забрать с установочного диска/флешки/образа (тогда проще уж просто

После того, как вы утвердились в выборе, замените повреждённый файл на обновлённый командой в cmd в формате:

copy полный-путь-к-хорошему-файлу полный-путь-к-плохому-файлу

Не забывая о правильности вводимых путей к обоим файлам, включая буквы томов (логических дисков).

Успехов

Прочитано: 2 359

Проверка образа

При работе офф-лайн используется восстановительный образ системы. Мы не знаем, где он хранится, а хакеры в курсе. Следовательно, намеренно могут испортить. Не факт, что ОС как-то это контролирует. Для работы с образами Майкрософт предлагает утилиту dism

Для нас не так важно, где хранится этот раздел, как возможность его проверить. Об этом немало написано на официальном сайте компании (technet.microsoft.com/en-us/library/hh824869.aspx)

Собственно, текст не сложный, переводить в этот раз не станем.

Используются следующие строки:

1. Dism /Online /Cleanup-Image /ScanHealth. Сканирует образ. Пусть читателей не вводит в заблуждение параметр online. Образ хранится на местном диске, и выполняется его сканирование.
2. Dism /Online /Cleanup-Image /CheckHealth. Эта команда всего лишь проверяет, не получил ли ранее образ пометок, как «неисправный» какими-либо процессами.

Та и другая команда позволяют решить, нужно ли что-то предпринимать. Впрочем решение всегда одно: нужно найти рабочий образ (например, с установочного носителя) и выполнить восстановление командой Dism /Online /Cleanup-Image /RestoreHealth /Source:c:\test\mount\windows /LimitAccess. После Source нужно вставить путь к носителю. Допускается восстанавливать и ОС, не активные в данный момент. Например, со сломанных ПК. Для этого и применяется ключ offline.

В источнике файлов восстановления указывайте этот самый образ. Перед началом операций проверьте, та ли версия ОС записана на носитель. Для этого введите команду dism /Get-WimInfo /WimFile:U:\sources\install.esd /index:1. Где под U подразумевается путь к установочному носителю. Вот пример ответа для Профессиональной версии. После source, через двоеточие можно добавлять ESD или WIM (в зависимости от расширения), по нашим наблюдениям от этого ничего не меняется – но пробуйте!

Где взять установочный носитель

Скачайте средство Media Creation Tool (microsoft.com/ru-ru/software-download/windows10). Это поможет проверить целостность системных файлов Windows гарантированно по той простой причине, что утилита предложит записать именно ту версию ОС, которая стоит на данной машине.

Выберите нужную опцию и вперёд!

Не ошибитесь при выборе пути к флэшке. Как вариант, запишите образ, смонтируйте двойным кликом в дисковод перед тем, как восстановить системные файлы Windows 10. Плюс MCT в том, что операционный номер будет на 100% соответствовать. Потому что сборки меняются. В нашем случае носитель был создан для старой версии десятки (самой первой). Он может и не работать с юбилейной!

Нужно сказать, что процесс этот не быстрый, так что попейте чаю, пока ПК закончит свою работу

Обратите внимание, что гораздо проще восстановиться с сервера, но и ошибок больше. Очевидцы говорят (tenforums.com/performance-maintenance/40142-dism-unable-locate-install-wim-file-4.html), что иногда приходится запускаться несколько раз прежде, нежели будет достигнут положительный результат

Обращает на себя тот факт, что утилита прилежно качает образ с официального сайта. Это гарантирует отсутствие ошибок на носителе. В связи со сказанным становится понятным, как полезно иметь под рукой готовый установочный носитель для текущей системы. В случае таких неурядиц не нужно надеяться на центр обновлений, который не всегда доступен. Вот хороший пример синтаксиса (answers.microsoft.com/en-us/insider/forum/insider_wintp-insider_repair/where-is-source-wim-or-esd-for-dism-build-10586/c3c862ab-a5c5-47d0-a413-53a19f6ccd56?auth=1). Единственный, который нам удалось найти.

В нашем случае выдаётся ошибка, из которой мы прямо заключаем, что система все ещё возится с файлом помощи. Потому не уверены, что утилита может корректно проверить целостность файлов Windows 10. Как восстанавливаться в таких условиях? Нам, честно говоря, нет до этого дела, пусть решает Билли Гейтс.

Мы рассказали, как происходит подъем системы в случае сбоя, но привели свои и чужие доводы, говорящие в пользу того, что штатные утилиты работают не лучшим образом. Хорошо, что при помощи них не нужно проводить восстановление удалённых файлов. А то вот, не дай Бог, так удалить что-нибудь и пользоваться таким инструментарием. В том смысле, что мы уверены, что все было сделано правильно, но результат нет. Никогда не пользуйтесь помощью Win32.