Analiziranje in upravljanje datotek, map in pogonov

Skoraj smo končali z našo serijo Geek School o orodjih SysInternals, danes pa bomo govorili o vseh pripomočkih, ki vam pomagajo pri obravnavanju datotek in map - ali iščete skrite podatke ali varno izbrišete datoteko.

ŠOLSKA NAVIGACIJA

1. Kaj so orodja SysInternals in kako jih uporabljate?
2. Razumevanje Process Explorerja
3. Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje
4. Razumevanje procesa Monitor
5. Uporaba Process Monitor za odpravljanje težav in najti registracija Hacks
6. Uporaba Autoruns za obravnavo zagonskih procesov in Malware
7. Uporaba BgInfo za prikaz informacij o sistemu na namizju
8. Uporaba PsTools za nadzor drugih osebnih računalnikov iz ukazne vrstice
9. Analiziranje in upravljanje datotek, map in pogonov
10. Zavijanje in uporaba orodij skupaj

V orodju je kar nekaj pripomočkov, ki se ukvarjajo z vsemi vrstami stvari, ki so povezane z datotekami ali mapami ali iskanjem podatkov, ki jih niste poznali, in obstaja nekaj, ki so malo na neumni strani. Kakorkoli, pokrivali bomo vse.

Najpomembnejša orodja, povezana z datotekami v kompletu, da bi spoznali, so verjetno pripomočki Sigcheck in Streams, vendar bi bilo pametno vse previdno prebrati..

Tokovi najdejo in prikažejo skrite tokove NTFS

Večina ljudi ne ve za to funkcijo, vendar vam bo Windows omogočil shranjevanje podatkov v skritem predelu v datotečnem sistemu, ki se imenuje alternativni podatkovni tokovi. To v bistvu deluje tako, da na konec imena datoteke dodate dvopičje in edinstven ključ, ko z njim delate.

Na primer, če ste želeli skriti nekaj podatkov v datoteki, bi lahko naredili nekaj takega echo Secret> filename.txt: skrito in tudi če ste odprli to besedilno datoteko v Beležnici, ne boste videli besedila »Skrivnost«, ki ste ga dodali, in ne bi bilo drugega načina, da bi vedeli, da je bilo celo tam. Pravzaprav lahko s to tehniko naredite skoraj vse, kar želite. (Poskrbite, da boste za celotno razlago prebrali naš članek na to temo).

To je tudi tehnika, ki Windowsu omogoča, da čarobno ve, da so bile datoteke prenesene z interneta, tako da skrivajo podatke znotraj polja Zone.Identifier. Pravzaprav lahko ta nadomestni tok podatkov izbrišete s pripomočkom Streams.

Skladnja je preprosta - za prikaz tokov si v pozivu vnesite naslednje:

potoki

Uporabite lahko tudi »tokove * .exe« ali kaj podobnega, če želite videti vse datoteke s skritimi podatkovnimi tokovi, če jih imate. Najhitrejši način, da vidite nekaj, je, da se odpravite v imenik prenosov in ga zaženete.

Če želite izbrisati enega od tokov ali več od njih, lahko uporabite možnost -d:

tokov -d

Možnost -s lahko uporabite tudi za rekurzivno preusmerjanje v podimenike.

SigCheck analizira datoteke, ki niso digitalno podpisane (na primer Malware)

Ta zelo koristen pripomoček analizira digitalne podpise datotek v vašem sistemu in vam pove, ali so potrdila veljavna ali manjkajo. Uporabite ga lahko tudi za preverjanje datotek v VirusTotal iz ukazne vrstice, kar je priročno, ker je to prava točka tega orodja, je iskanje zlonamerne programske opreme..

Normalna in najbolj uporabna sintaksa je dodati stikalo -u, ki poroča samo o težavah, in stikalo -e, ki preverja samo izvedljive datoteke. Tako lahko zaženete nekaj takega, da preverite vaš imenik system32 in se prepričajte, da so vse datoteke tam digitalno podpisane. Vse drugo je treba natančno preučiti.

sigcheck -e -u C: Windows System32

Za dodatno preverjanje proti VirusTotal lahko uporabite tudi možnost -v, vendar morate prvič uporabiti možnost -vt, da sprejmete njihove pogoje in določila..

sigcheck -v -vt

SDelete Varno izbriše datoteke

Če ste paranoidni tip, boste z veseljem vedeli, da lahko varno izbrišete datoteke iz ukazne vrstice kadarkoli želite. Samo uporabite pripomoček sdelete za brisanje datoteke z protokoli, ki so skladni z DoD. (Seveda ima NSA še vedno kopijo vaše datoteke). Skladnja je preprosta:

sdelete

Lahko pa tudi prosti prostor na pogonu očistite s tipko sdelete -c možnost, ki bo trajala dlje, vendar je dobra izbira, če ste pozabili uporabiti sdelete, da bi datoteko odstranili.

Contig Defragments One ali veliko posameznih datotek

Če želite defragmentirati samo eno datoteko ali seznam datotek, lahko uporabite pripomoček Contig za to. Seveda, v sodobnih različicah operacijskega sistema Windows, ki ga samodejno ne potrebujete, defragmentirate datotek. In ja, če uporabljate polprevodniški pogon, nikoli ne smete defragmentirati niti ne morate. Ampak, če morate absolutno, pozitivno, defragmentirati eno datoteko, to je pripomoček za to. Skladnja je preprosta:

contig

Če želite analizirati razdrobljenost datoteke brez dejanskega delovanja, lahko uporabite stikalo -a, kot je prikazano spodaj:

Treba je omeniti, da tudi če je datoteka razdrobljena, če je datoteka zelo velika in je samo razdeljena na nekaj velikih kosov, boste v bistvu pridobili ničesar od defragmentiranja in boste zapravili več časa, da bi se ukvarjali z njim, kot bi prihranili..

du Prikazuje uporabo diskov

Vedno lahko z desno tipko miške kliknete katero koli datoteko ali mapo v Raziskovalcu in izberete Lastnosti ali pa uporabite bližnjico ALT + ENTER, da vidite velikost datoteke ali mape. Kaj pa, če želite videti te podatke iz ukaznega poziva? Tukaj pride pripomoček du in je tudi nekoliko bolj natančen, ker ne šteje simboličnih povezanih datotek in tudi preverja alternativne tokove podatkov..

Možnost -n preveri samo eno mapo, ne da bi se rekurzirala v poddirektorije, možnost -v pa se ponovi in ​​prikaže vsak imenik, ko gre skozi seznam, in možnost -l (n) preveri samo globine "n". Kot v, -l 2 bi preveril 2 ravni globoko.

PendMoves Prikazuje datoteke, ki se premikajo ob naslednjem ponovnem zagonu

Ali ste se kdaj spraševali, zakaj vam namestitev namesti računalnik? Odgovor je ponavadi, da želijo premakniti nekatere datoteke, ki jih ne morete premikati, ko se Windows zažene, zato uporabljajo vgrajeno funkcijo Windows, ki obravnava premikanje ali brisanje datotek ob ponovnem zagonu..

Edina stvar, ki jo morate storiti, je, da zaženete ukaz in izpisa podatke. Zakaj je kopija Process Explorer predvidena za premik v mapo Windows ob naslednjem zagonu? Beri naprej.

MoveFiles premakne sistemske datoteke, ko ponovno zaženete sistem

Ta pripomoček uporablja vgrajeno funkcijo Windows za načrtovanje premika, brisanja ali preimenovanja datoteke ali imenika, tako da se bo to zgodilo med naslednjim ciklom ponovnega zagona, preden se Windows v celoti naloži. Sintaksa je zelo preprosta:

movefile

Če želite izbrisati datoteko, lahko uporabite prazno destinacijo z uporabo narekovajev, kot je premakni datoteko “”. Kot lahko vidite na spodnjem posnetku zaslona, ​​smo uporabili ukaz Movefile za načrtovanje premika kopije procesnega raziskovalca v imenik sistema Windows, da bi prikazali, kako deluje..

Junction ustvari simbolne povezave

Windows podpira simbolne povezave za datoteke in mape, tako da lahko imate več kot eno pot do iste datoteke, da prihranite prostor, namesto da imate več kopij datoteke. Ideja je podobna bližnjicam, le da je na ravni datotečnega sistema in vgrajena v NTFS.

Pripomoček Junction vam omogoča enostavno ustvarjanje in brisanje teh povezav. Lahko jih tudi izbrišete križišče -d .

križišču

Resničnost pa je v tem, da je Windows odkar ima Vista zmožnost ustvarjanja simbolnih povezav z ukazom mklink, lahko pa ga uporabite tudi namesto tega..

FindLinks najde trde povezave do datotek

Ta mali pripomoček najde vse trde povezave, ki kažejo na datoteko. Trde povezave se razlikujejo od simbolnih povezav, saj brisanje ene trde povezave dejansko ne izbriše datoteke, če je na njej več trdih povezav, samo se zdi, da jo izbrišete, dokler ne izbrišete vseh trdih povezav. Ko izbrišete končno trdo povezavo, bo datoteka izbrisana.

Opomba: to bi lahko bil zanimiv način, da se prepriča, da nekdo, ki ima navado brisanja datotek, ne izbriše določene datoteke. Samo ustvarite trdo povezavo do vseh datotek, ki jih ne želite izgubiti.

V vsakem primeru lahko ta ukaz uporabite dovolj preprosto:

findlinks

Edini problem je, da imajo Windows 7 in 8 vgrajen ukaz, ki dela isto stvar. Namesto tega uporabite:

seznam fsutil hardlink

Opomba: Vedno je bolje, da se naučite uporabljati vgrajene stvari, kadar je to mogoče, ker nikoli ne veste, kdaj boste morali narediti nekaj na računalniku nekoga drugega, ko nimate orodja.

DiskView Prikaže strukturo diska

Ta pripomoček vam omogoča, da zelo podrobno vidite strukturo vašega trdega diska in lahko celo povečate vso pot ter izberete datoteko, ki jo želite označiti na seznamu, tako da lahko vidite, kje je določena datoteka na pogonu, in tudi ali je razdrobljen ali ne. To ni strašno uporabno za večino ljudi, vendar upamo, da imate scenarij, v katerem ga boste morda morali uporabiti.

Disk2vhd Pretvori osebne računalnike v virtualne trde diske

Ta pripomoček ustvari klon trdega diska vašega računalnika, medtem ko se izvaja, in ga združi v datoteko Virtual Hard Drive, ki jo lahko uporabite v navideznem računalniku. In to počne, ko računalnik deluje.

To je prav, lahko ustvarite virtualni stroj trdega diska, medtem ko je računalnik teče. To bi lahko bilo tudi zelo koristno za scenarije, kjer želite narediti nekaj forenzične analize stroja, vendar v svojem računalniku - lahko samo ustvarite klon in ga nato namesto tega zaženete kot navidezni stroj..

Možnost Vhdx pove Disk2vhd, naj namesto VHD datoteke uporabi novejši format datoteke VHDX, ki je imel številne omejitve. Privzeto bo Disk2vhd ustvaril ločene datoteke za vsak fizični pogon, vendar bo particije v isti datoteki. Če nameravate datoteko VHD preprosto priključiti na drugo navidezno napravo ali jo preprosto namestite na običajni računalnik z operacijskim sistemom Windows, lahko počistite particije, ki jih na seznamu ne potrebujete. Če nameravate narediti virtualni stroj iz njega, bi verjetno morali vse preveriti.

Izhodna datoteka VHD se lahko dejansko namesti na isti pogon, s katerim ustvarjate kopijo, vendar vam priporočamo, da uporabite drugi pogon, če je le mogoče, da bi bilo vse hitreje..

PageDefrag je zastarel

Ta pripomoček vam je omogočil defragmentiranje sistemskih datotek med zagonom, vendar ker ne deluje na novejših različicah sistema Windows, ga morate preskočiti.

Sinhronizacija zapiše predpomnjene podatke na vaš disk

Ta pripomoček preprosto sinhronizira vse predpomnjene podatke na disk, da se prepriča, da so vse spremembe datotek zapisane v pogon in da niso shranjene v nekem medpomnilniku. Seveda morate uporabiti možnost Varno odstranjevanje vsakič, če želite biti prepričani, da ne boste izgubili podatkov, ko vlečete bliskovni pogon.

Disk Monitor vam pokaže aktivnost v trdem disku v realnem času

Ta pripomoček kaže dejansko dejavnost trdega diska, ki se dogaja v realnem času - sektorji, bere, piše, dolžino podatkov, vse je tam. Edina težava je, da za večino ljudi ni strašno uporabna.

Morda je bolj uporabno, da spremlja disk "Tray Disk Light", ki ga lahko izberete v meniju Možnosti. Ko omogočite ta način, se bo premaknil v sistemski pladenj in utripal rdeče za pisanje, zeleno za branje ali ostane sivo, ko se nič ne bo.

Če samo ikona ujema Windows 8 malo bolje.

VolumeID Spremeni serijsko številko pogona

Ste že kdaj opazili, da ima vsak pogon serijsko številko, ki izgleda kot 064B-1E81 ali kaj enako nezanimiv? Če želite to serijsko številko spremeniti v bolj zabavno, lahko to storite s pripomočkom VolumeID s to sintakso:

volumeid XXXX-XXXX

Upoštevajte, da sintaksa zahteva uporabo šestnajstiških znakov, zato v GEEK-1337 ne morete tipkati, kot smo to storili, ker preprosto ne bo delovala..

Naslednja lekcija

Jutri bomo zaključili serijo s pogledom na nekaj majhnih pripomočkov, ki smo jih zamudili, in nekaj navodil o uporabi vseh orodij skupaj in ko bi morali izvleči vsako orodje..