Główna » szkoła » Analizowanie i zarządzanie plikami, folderami i dyskami

    Analizowanie i zarządzanie plikami, folderami i dyskami

    Już prawie skończyliśmy z naszą serią Geek School na temat narzędzi SysInternals, a dzisiaj porozmawiamy o wszystkich narzędziach, które pomagają radzić sobie z plikami i folderami - niezależnie od tego, czy znajdujesz ukryte dane, czy bezpiecznie usuniesz plik.

    NAWIGACJA SZKOLNA
    1. Jakie są narzędzia Sysinternet i jak ich używasz?
    2. Omówienie Eksploratora procesów
    3. Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania
    4. Omówienie Monitora procesu
    5. Używanie monitora procesu do rozwiązywania problemów i znajdowania haseł rejestru
    6. Korzystanie z autouruchamiania w celu radzenia sobie z procesami uruchamiania i złośliwym oprogramowaniem
    7. Używanie BgInfo do wyświetlania informacji o systemie na pulpicie
    8. Używanie PsTools do sterowania innymi komputerami z poziomu wiersza poleceń
    9. Analizowanie i zarządzanie plikami, folderami i dyskami
    10. Pakowanie i używanie narzędzi razem

    W zestawie narzędzi znajduje się sporo narzędzi, które zajmują się różnego rodzaju rzeczami związanymi z plikami lub folderami lub znajdowaniem danych, o których istnieniu nie było, a jest ich kilka, które są trochę po stronie głupich. Tak czy inaczej, omówimy je wszystkie.

    Najważniejsze narzędzia związane z plikami w zestawie, aby się dowiedzieć, to prawdopodobnie narzędzia Sigcheck i Streams, ale dobrze byłoby przeczytać je wszystkie uważnie.

    Strumienie wyszukuje i wyświetla ukryte strumienie NTFS

    Większość ludzi nie wie o tej funkcji, ale Windows pozwoli ci przechowywać dane w ukrytym przedziale w systemie plików zwanym alternatywnymi strumieniami danych. Zasadniczo działa to poprzez dołączenie dwukropka i unikalnego klucza na końcu nazwy pliku podczas interakcji z nim.

    Na przykład, jeśli chcesz ukryć niektóre dane w pliku, możesz zrobić coś takiego echo Sekret> filename.txt: hiddenstuff a nawet jeśli otworzysz ten plik tekstowy w Notatniku, nie zobaczysz dodanego "tajnego" tekstu i nie będzie innego sposobu, aby się dowiedzieć, że nawet tam był. W rzeczywistości możesz zrobić prawie wszystko, co chcesz, używając tej techniki. (Koniecznie przeczytaj nasz artykuł na ten temat, aby uzyskać pełne wyjaśnienie).

    Jest to również technika pozwalająca systemowi Windows w magiczny sposób wiedzieć, że pliki zostały pobrane z Internetu, ukrywając dane w polu Zone.Identifier. W rzeczywistości możesz usunąć ten alternatywny strumień danych za pomocą narzędzia Streams.

    Składnia jest prosta - aby wyświetlić strumienie, wpisz następujące polecenie w monicie:

    strumienie

    Możesz także użyć "strumieni * .exe" lub czegoś podobnego, aby zobaczyć wszystkie pliki z ukrytymi danymi strumieniowymi, jeśli takie istnieją. Najszybszym sposobem, aby coś zobaczyć, jest wejście do katalogu pobierania i uruchomienie go.

    Aby usunąć jeden ze strumieni lub wiele z nich, możesz użyć opcji -d:

    strumienie -d

    Możesz także użyć opcji -s, aby rekursywnie przechodzić do podkatalogów.

    SigCheck analizuje pliki, które nie są cyfrowo podpisane (jak złośliwe oprogramowanie)

    To bardzo użyteczne narzędzie analizuje cyfrowe podpisy plików w systemie i informuje, czy są one ważne lub brakuje certyfikatu. Możesz również użyć go do sprawdzenia plików w programie VirusTotal z wiersza poleceń, co jest wygodne, ponieważ to jest prawdziwy punkt tego narzędzia, to znalezienie złośliwego oprogramowania.

    Normalną i najbardziej użyteczną składnią jest dodanie przełącznika -u, który zgłasza tylko problemy, oraz przełącznika -e, który sprawdza tylko pliki wykonywalne. Możesz więc uruchomić coś takiego, żeby sprawdzić katalog system32 i upewnić się, że wszystkie pliki są podpisane cyfrowo. Coś innego powinno być dokładnie zbadane.

    sigcheck -e -u C: \ Windows \ System32

    Możesz także użyć opcji -v, aby uzyskać dodatkową kontrolę przeciwko VirusTotal, ale będziesz musiał użyć opcji -vt po raz pierwszy, aby zaakceptować ich warunki.

    sigcheck -v -vt

    SDelete Bezpiecznie usuwa pliki

    Jeśli jesteś typem paranoidalnym, będziesz zadowolony, wiedząc, że możesz bezpiecznie wymazać pliki z wiersza poleceń w dowolnym momencie. Po prostu użyj narzędzia sdelete, aby złamać plik za pomocą zgodnych z DoD protokołów usuwania. (Oczywiście NSA prawdopodobnie nadal ma kopię twojego pliku). Składnia jest prosta:

    sdelete

    Alternatywnie można wyczyścić wolne miejsce na dysku, korzystając z sdelete -c opcja, która potrwa dłużej, ale jest dobrym rozwiązaniem, jeśli zapomniałeś użyć sdelete do usunięcia pliku w pierwszej kolejności.

    Contig Defragmentuje jeden lub wiele pojedynczych plików

    Jeśli chcesz zdefragmentować tylko jeden plik lub listę plików, możesz użyć programu Contig, aby to zrobić. Oczywiście nie musisz defragmentować plików we współczesnych wersjach systemu Windows, które robią to automatycznie. I tak, jeśli używasz dysku SSD, nigdy nie powinieneś defragmentować ani go nie potrzebujesz. Ale jeśli absolutnie, pozytywnie, musisz zdefragmentować pojedynczy plik, jest to narzędzie do tego. Składnia jest prosta:

    contig

    Jeśli chcesz przeanalizować fragmentację pliku, nie robiąc nic, możesz użyć przełącznika -a, jak pokazano poniżej:

    Warto zauważyć, że nawet jeśli plik jest pofragmentowany, jeśli plik jest bardzo duży i jest podzielony na kilka dużych kawałków, nic nie zyskasz dzięki defragmentacji i zmarnujesz więcej czasu na nękanie, niż zaoszczędzisz.

    du Pokazuje użycie dysku

    Zawsze możesz kliknąć prawym przyciskiem myszy dowolny plik lub folder w Eksploratorze Windows i wybrać Właściwości lub użyć skrótu klawiaturowego ALT + ENTER, aby zobaczyć rozmiar pliku lub folderu. Ale co jeśli chcesz zobaczyć te dane z wiersza poleceń? Tutaj pojawia się narzędzie du, a także jest ono nieco dokładniejsze, ponieważ nie liczyć symbolicznie powiązanych plików i sprawdza również alternatywne strumienie danych.

    Opcja -n sprawdza tylko jeden folder, bez rekursji do podkatalogów, podczas gdy opcja -v rekurencyjnie, a także pokazuje każdy katalog podczas jego przeglądania, a opcja -l (n) sprawdza poziom "n" głęboko. Jak w, -l 2 sprawdzi 2 poziomy głębokości.

    PendMoves wyświetla pliki poruszające się przy następnym uruchomieniu

    Czy zastanawiałeś się kiedyś, dlaczego instalacje aplikacji powodują ponowne uruchomienie komputera? Odpowiedź jest zwykle taka, że ​​chcą przenieść niektóre pliki wokół, których nie można przesuwać podczas działania systemu Windows, więc używają wbudowanej funkcji systemu Windows, która obsługuje przenoszenie lub usuwanie plików przy ponownym uruchamianiu.

    Jedyne, co musisz zrobić, to uruchomić polecenie, a następnie wypisze dane. Dlaczego jest planowana kopia Eksploratora procesów do przeniesienia do folderu Windows przy następnym uruchomieniu? Czytaj.

    MoveFiles przenosi pliki systemowe po ponownym uruchomieniu

    To narzędzie korzysta z wbudowanej funkcji systemu Windows, aby zaplanować przeniesienie, usunięcie lub zmianę nazwy pliku lub katalogu, tak aby stało się to podczas następnego cyklu ponownego uruchamiania, zanim system Windows zostanie w pełni załadowany. Składnia jest naprawdę prosta:

    movefile

    Jeśli chcesz usunąć plik, możesz użyć pustego miejsca docelowego, używając cudzysłowów, takich jak movefile "". Jak widać na zrzucie ekranu poniżej, użyliśmy polecenia Movefile, aby zaplanować przeniesienie eksploratora procesów do katalogu Windows, aby pokazać, jak to wszystko działa.

    Złącze Tworzy łącza symboliczne

    System Windows obsługuje dowiązania symboliczne do plików i folderów, dzięki czemu można mieć więcej niż jeden punkt ścieżki do tego samego pliku, aby zaoszczędzić miejsce, zamiast wielu kopii pliku. Pomysł jest podobny do skrótów, z wyjątkiem tego, że jest na poziomie systemu plików i wbudowany w NTFS.

    Narzędzie Junction umożliwia łatwe tworzenie i usuwanie tych łączy. Możesz także usunąć je za pomocą junction -d .

    węzeł

    Rzeczywistość jest taka, że ​​Windows od Visty miał możliwość tworzenia dowiązań symbolicznych za pomocą polecenia mklink, a równie dobrze możesz użyć tego zamiast.

    FindLinks znajduje twarde linki do plików

    To małe narzędzie znajduje wszystkie twarde linki wskazujące na plik. Dowiązania twarde różnią się od dowiązań symbolicznych tym, że usunięcie jednego twardego linku w rzeczywistości nie usuwa pliku, jeśli jest więcej twardych linków do tego pliku, po prostu wydaje się usuwać go, dopóki nie usuniesz wszystkich twardych linków. Po usunięciu końcowego twardego linku plik zostanie usunięty.

    Uwaga: może to być rzeczywiście interesujący sposób, aby upewnić się, że dany plik nie jest naprawdę usunięty przez kogoś, kto ma zwyczaj usuwania plików. Po prostu utworzymy twardy link do wszystkich plików, których nie chcesz, aby zostały utracone.

    W każdym razie możesz z łatwością użyć tego polecenia:

    findlinks

    Jedynym problemem jest to, że Windows 7 i 8 mają wbudowane polecenie, które robi to samo. Użyj tego zamiast:

    Lista hardlink fsutil

    Uwaga: Zawsze lepiej nauczyć się korzystać z wbudowanych funkcji, gdy tylko jest to możliwe, ponieważ nigdy nie wiesz, kiedy musisz zrobić coś na komputerze innego użytkownika, gdy nie masz zestawu narzędzi.

    DiskView Wyświetla strukturę dysku

    To narzędzie pozwala na bardzo szczegółowe oglądanie struktury dysku twardego, a nawet przybliżenie obrazu i wybranie pliku do zaznaczenia na liście, dzięki czemu można zobaczyć, gdzie znajduje się dany plik na dysku, a także Sprawdź, czy jest fragmentaryczny, czy nie. To nie jest zbyt przydatne dla większości ludzi, ale mam nadzieję, że masz scenariusz, w którym być może będziesz musiał go użyć.

    Disk2vhd Zamienia komputery w wirtualne dyski twarde

    To narzędzie tworzy klon dysku twardego komputera podczas jego działania i łączy go w plik wirtualnego dysku twardego, który może być używany na maszynie wirtualnej. I robi to, gdy komputer jest uruchomiony.

    To prawda, możesz utworzyć maszynę wirtualną na dysku twardym, gdy Twój komputer jest uruchomiony. Może to być również przydatne w przypadku scenariuszy, w których chcesz przeprowadzić analizę sądową komputera, ale na własnym komputerze - możesz po prostu utworzyć klon, a następnie uruchomić go jako maszynę wirtualną..

    Opcja dla Vhdx mówi Disk2vhd, aby używał nowszego formatu pliku VHDX zamiast formatu pliku VHD, który miał wiele ograniczeń. Domyślnie Disk2vhd tworzy oddzielne pliki dla każdego fizycznego dysku, ale umieszcza partycje w tym samym pliku. Jeśli po prostu planujesz dołączyć ten plik VHD do innej maszyny wirtualnej lub po prostu zamontować go na zwykłym komputerze z systemem Windows, możesz odznaczyć partycje, których nie potrzebujesz na liście. Jeśli planujesz zrobić z niego maszynę wirtualną, prawdopodobnie powinieneś zostawić wszystko sprawdzone.

    Plik wyjściowy VHD może zostać umieszczony na tym samym dysku, na którym tworzysz kopię, ale zalecamy, aby użyć drugiego dysku, jeśli to możliwe, aby wszystko działało szybciej.

    PageDefrag jest Przestarzały

    To narzędzie umożliwia defragmentację plików systemowych podczas rozruchu, ale ponieważ nie działa w najnowszych wersjach systemu Windows, należy go pominąć.

    Synchronizacja Zapisuje buforowane dane na dysk

    To narzędzie po prostu synchronizuje wszystkie dane z pamięci podręcznej na dysk, aby upewnić się, że wszystkie zmiany w plikach są zapisywane na dysku i nie są przechowywane gdzieś w jakimś buforze. Oczywiście, powinieneś zawsze używać opcji Bezpieczne usuwanie, jeśli chcesz mieć pewność, że nie stracisz danych podczas przeciągania dysku flash.

    Monitor dysku pokazuje aktywność dysku twardego w czasie rzeczywistym

    To narzędzie pokazuje rzeczywistą aktywność dysku twardego dzieje się w czasie rzeczywistym - sektory, czyta, pisze, długość danych, to wszystko. Jedynym problemem jest to, że większość ludzi nie jest zbyt użyteczna.

    Co może być bardziej przydatne, może to monitor dysku "Tray Disk Light", który można wybrać z menu Options. Po włączeniu tego trybu zostanie przeniesiony do zasobnika systemowego i zacznie migać na czerwono podczas zapisywania, zielony dla odczytów lub pozostanie szary, gdy nic się nie dzieje.

    Jeśli tylko ikona pasuje do Windows 8 nieco lepiej.

    VolumeID Zmienia numer seryjny dysku

    Czy zauważyłeś, że każdy napęd ma numer seryjny, który wygląda jak 064B-1E81 lub coś równie nieciekawego? Jeśli chcesz zmienić ten numer seryjny na coś fajniejszego, możesz to zrobić za pomocą narzędzia VolumeID z następującą składnią:

    volumeid XXXX-XXXX

    Pamiętaj, że składnia wymaga użycia znaków szesnastkowych, więc nie możesz wpisać GEEK-1337, tak jak my, ponieważ to po prostu nie zadziała.

    Następna lekcja

    Jutro mamy zamiar podsumować serię spojrzeniem na niektóre z narzędzi, które przegapiliśmy, a także kilka porad dotyczących korzystania ze wszystkich narzędzi razem, a kiedy powinieneś wyciągnąć każde narzędzie.