Анализ и управление на вашите файлове, папки и устройства
Почти приключихме с нашата серия Geek School за инструментите на SysInternals, а днес ще говорим за всички помощни програми, които ви помагат да се справяте с файлове и папки - независимо дали намирате скрити данни или сигурно изтривате файл.
НАВИГАЦИЯ НА УЧИЛИЩАТА- Какви са инструментите на SysInternals и как ги използвате?
- Запознаване с Process Explorer
- Използване на Process Explorer за отстраняване на неизправности и диагностика
- Разбиране на процесния монитор
- Използване на процесния монитор за отстраняване на неизправности и търсене на регистър Hacks
- Използване на Autoruns да се справят с процеси на стартиране и Malware
- Използване на BgInfo за показване на системна информация на работния плот
- Използване на PsTools за контрол на други компютри от командния ред
- Анализ и управление на вашите файлове, папки и устройства
- Опаковане и използване на инструментите заедно
Има доста комунални услуги в инструментариума, които се занимават с всякакви неща, които са свързани с файлове или папки или намиране на данни, които не знаете, че има, и има няколко, които са малко на глупава страна. И в двата случая ще ги покриваме.
Най-важните инструменти, свързани с файловете в комплекта, за да се запознаете, вероятно са помощните програми на Sigcheck и Streams, но би било разумно да ги прочетете внимателно..
Потоци намира и показва скрити потоци NTFS
Повечето хора не знаят за тази функция, но Windows ще ви позволи да съхранявате данни в скрито отделение във файловата система, наречена алтернативни потоци от данни. Това основно се осъществява чрез добавяне на двоеточие и уникален ключ към края на името на файла при взаимодействие с него.
Например, ако искате да скриете някои данни във файл, можете да направите нещо подобно echo Secret> filename.txt: скрит и дори да отворите този текстов файл в Notepad, не бихте видели добавения текст „Secret“ и няма да има друг начин да знаете, че той е бил там. Всъщност, можете да правите почти всичко, което искате с помощта на тази техника. (Не забравяйте да прочетете нашата статия по темата за пълното обяснение).
Това е и техниката, която позволява на Windows магически да знае, че файловете са изтеглени от интернет чрез скриване на данни в полето Zone.Identifier. Всъщност можете да изтриете този алтернативен поток от данни с помощта на програмата Streams.
Синтаксисът е прост - за да видите потоците, въведете следното в реда:
потоци
Можете също да използвате „потоци * .exe“ или нещо подобно, за да видите всички файлове със скрити поточни данни, ако има такива. Най-бързият начин да видите нещо е да се насочите към директорията за изтегляния и да го стартирате там.
За да изтриете един от потоците или много от тях, можете да използвате опцията -d:
потоци -d
Можете също да използвате опцията -s, за да преминете към поддиректории рекурсивно.
SigCheck анализира файлове, които не са цифрово подписани (като Malware)
Тази много полезна програма анализира цифровите подписи на файлове във вашата система и ви казва дали са валидни или липсват сертификати. Можете също да го използвате, за да проверявате файловете срещу VirusTotal от командния ред, което е удобно, защото това е истинската цел на този инструмент, е да намерите злонамерен софтуер.
Нормалният и най-полезен синтаксис е да се добави ключът -u, който само съобщава за проблеми, и -e ключ, който проверява само изпълними файлове. Така че можете да стартирате нещо подобно, за да проверите директорията на system32 и се уверете, че всички файлове там са цифрово подписани. Всичко друго трябва да се разгледа много внимателно.
sigcheck -e -u C: Windows System32
Можете също да използвате опцията -v за допълнителна проверка срещу VirusTotal, но ще трябва да използвате опцията -vt за първи път, за да приемете техните условия и условия.
sigcheck -v -vt
SDelete сигурно изтрива файлове
Ако сте параноичен тип, ще се радваме да знаете, че можете да изтриете файлове от командния ред по всяко време. Просто използвайте помощната програма sdelete, за да удряте файла с протоколи за изтриване, съвместими с DoD. (Разбира се, че NSA вероятно все още има копие на файла ви). Синтаксисът е прост:
sdelete
Като алтернатива можете да почистите свободното пространство на устройство с помощта на sdelete -c опция, която ще отнеме повече време, но е добър вариант, ако сте забравили да използвате sdelete, за да премахнете файла на първо място.
Contig дефрагментира един или много отделни файлове
Ако искате да дефрагментирате само един файл или списък с файлове, можете да използвате помощната програма Contig, за да направите точно това. Разбира се, не е нужно да дефрагментирате файловете в модерни версии на Windows, които го правят автоматично. И да, ако използвате твърдо устройство, никога не бива да дефрагментирате, нито да го правите. Но ако абсолютно, положително, трябва да дефрагментирате един файл, това е помощната програма, която да го направи. Синтаксисът е прост:
контиг
Ако искате да анализирате фрагментацията на даден файл, без действително да правите нищо, можете да използвате ключа -a, както е показано по-долу:
Заслужава да се отбележи, че дори ако даден файл е фрагментиран, ако файлът е много голям и е разбит само на няколко големи парчета, вие по същество няма да получите нищо от дефрагментирането и ще губите повече време, докато се безпокоите, отколкото бихте спестили.
du Показва използването на диска
Винаги можете да щракнете с десния бутон върху всеки файл или папка в Windows Explorer и да изберете Свойства, или да използвате клавишната комбинация ALT + ENTER, за да видите размера на файл или папка. Но какво, ако искате да видите тези данни от командния ред? Това е мястото, където идва помощната програма du, а също така е малко по-точна, защото не брои символни свързани файлове и също проверява алтернативни потоци от данни, както.
Опцията -n проверява само една папка, без да се рекурсира в поддиректории, докато опцията -v рекурсира и също така показва всяка директория, докато минава през списъка, а опцията -l (n) проверява само "n" нивата. Както и в, -l 2 ще провери 2 нива дълбоко.
PendMoves Показва файлове, движещи се при следващото рестартиране
Чудили ли сте се защо инсталирането на приложения ви кара да рестартирате компютъра си? Отговорът обикновено е, че те искат да преместят някои файлове наоколо, които не могат да бъдат преместени, докато се изпълнява Windows, така че те използват вградена функция на Windows, която управлява преместването или изтриването на файлове при рестартиране.
Единственото нещо, което трябва да направите, е да изпълните командата и тя ще изведе данните. Защо е предвидено копие на Process Explorer да се премести в папката на Windows при следващото рестартиране? Прочетете.
MoveFiles Премества системните файлове, когато рестартирате
Тази програма използва вградената функция на Windows за планиране на преместване, изтриване или преименуване на файл или директория, така че да се случи по време на следващия цикъл на рестартиране, преди Windows да е напълно заредена. Синтаксисът е много прост:
movefile
Ако искате да изтриете файл, можете да използвате празно местоназначение, като използвате кавички movefile “”. Както можете да видите на екрана по-долу, използвахме командата Movefile, за да планираме копие на изследователя на процеси да бъде преместено в директорията на Windows, за да илюстрира как работи всичко.
Junction Създава символични връзки
Windows поддържа символни връзки за файлове и папки, така че можете да имате повече от един път към един и същ файл, за да спестите място, вместо да имате няколко копия на файл. Идеята е подобна на тези за бърз достъп, с изключение на това, че е на ниво файлова система и е вградена в NTFS.
Помощната програма Junction ви позволява лесно да създавате и изтривате тези връзки. Можете също да ги изтриете, като използвате кръстовище -d .
кръстовище
Реалността обаче е, че Windows, тъй като Vista е имал възможността да създава символични връзки с командата mklink, и може да използвате и тази вместо нея..
FindLinks намира твърди връзки към файлове
Тази малка програма открива всички твърди връзки, сочещи към файл. Твърдите връзки са различни от символните връзки, тъй като изтриването на една твърда връзка всъщност не изтрива файла, ако има по-твърди връзки към него, просто се появява, че го изтрива, докато не изтриете всички твърди връзки. След като изтриете последната твърда връзка, файлът ще бъде изтрит.
Забележка: това всъщност може да бъде интересен начин да се уверите, че даден файл не е наистина изтрит от някой, който има навика да изтрива файлове. Просто създайте твърда връзка към всички файлове, които не искате да загубят.
Във всеки случай можете да използвате тази команда достатъчно лесно:
findlinks
Единственият проблем е, че Windows 7 и 8 имат вградена команда, която прави същото. Използвайте този вместо:
fsutil hardlink списък
Забележка: Винаги е по-добре да се научите да използвате вградените неща, когато е възможно, защото никога не знаете кога трябва да направите нещо на компютъра на някой друг, когато нямате инструментариум.
DiskView Показва структурата на диска
Тази програма ви позволява да видите структурата на вашия твърд диск в подробности и дори можете да увеличите целия път и да изберете файл, който да маркирате в списъка, така че можете да видите къде е определен файл на устройството, а също и дали е фрагментиран или не. Това не е много полезно за повечето хора, но се надяваме, че имате сценарий, в който може да се наложи да го използвате.
Disk2vhd Превръща компютрите във виртуални твърди дискове
Тази помощна програма създава клонинг на твърдия диск на компютъра, докато той работи, и го обединява във файл с виртуален твърд диск, който може да се използва във виртуална машина. И това прави, докато компютърът работи.
Точно така, можете да създадете виртуална машина на твърдия диск, докато компютърът ви работи. Това също може да бъде много полезно за сценарии, където искате да направите някакъв анализ на машина, но на собствен компютър - можете просто да създадете клонинг и след това да го стартирате като виртуална машина.
Опцията за Vhdx казва на Disk2vhd да използва по-новия VHDX файлов формат вместо VHD файлов формат, който имаше редица ограничения. По подразбиране Disk2vhd ще създаде отделни файлове за всяко физическо устройство, но ще постави дяловете в същия файл. Ако просто планирате да прикачите този VHD файл към друга виртуална машина, или дори просто да го монтирате на обикновен компютър с Windows, можете да махнете отметките от дяловете, които не ви трябват в списъка. Ако планирате да направите виртуална машина извън нея, вероятно ще оставите всичко проверено.
Изходният файл на VHD може действително да бъде поставен върху същото устройство, с което правите копие, но ние препоръчваме да използвате второ устройство, ако е възможно, само за да направите всичко по-бързо..
PageDefrag е остарял
Тази помощна програма ви позволява да дефрагментирате системните файлове по време на зареждане, но тъй като тя не работи на последните версии на Windows, трябва да я пропуснете.
Синхронизиране Пише кеширани данни на вашия диск
Тази помощна програма просто синхронизира всички кеширани данни към диска, за да се увери, че всички промени на файловете се записват на устройството и не се съхраняват някъде в някой буфер. Разбира се, трябва да използвате опцията за безопасно премахване всеки път, ако искате да сте сигурни, че няма да загубите данни, когато дърпате флаш устройство.
Дисковият монитор ви показва активност на твърдия диск в реално време
Тази програма показва действителната активност на твърдия диск, която се случва в реално време - сектори, чете, пише, дължината на данните, всичко е там. Единственият проблем е, че не е много полезен за повечето хора.
Това, което е малко по-полезно, може би е контролът на диска “Light Tray Disk”, който можете да изберете от менюто Options. След като активирате този режим, той ще се премести в системната лента и ще мига червено за запис, зелено за четене, или ще остане сиво, когато нищо не се случва..
Ако само иконата съвпада с Windows 8 малко по-добре.
VolumeID Променя серийния номер на устройството
Забелязвали ли сте някога как всеки диск има сериен номер, който изглежда като 064B-1E81 или нещо неинтересно? Ако искате да промените този сериен номер на нещо по-забавно, можете да го направите, като използвате помощната програма VolumeID с този синтаксис:
обем XXXX-XXXX
Моля, обърнете внимание, че синтаксисът изисква използване на шестнадесетични символи, така че не можете да пишете в GEEK-1337, както направихме, защото просто няма да работи.
Следващ урок
Утре ще завършим поредицата с поглед към някои от малкото помощни програми, които сме пропуснали, както и някои насоки за използването на всички инструменти заедно и когато трябва да извадите всеки инструмент.