Hjemmeside » skole » Analysere og administrere filer, mapper og stasjoner

    Analysere og administrere filer, mapper og stasjoner

    Vi er nesten ferdige med vår Geek School-serie på SysInternals verktøy, og i dag skal vi snakke om alle verktøyene som hjelper deg med å håndtere filer og mapper - enten du finner skjulte data eller sikkert sletter en fil.

    SCHOOL NAVIGASJON
    1. Hva er SysInternals Tools og hvordan bruker du dem?
    2. Forstå Process Explorer
    3. Bruk Prosess Explorer til Feilsøking og diagnostisering
    4. Forstå prosessovervåking
    5. Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
    6. Ved hjelp av Autoruns å håndtere oppstartsprosesser og malware
    7. Bruke BgInfo til å vise systeminformasjon på skrivebordet
    8. Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
    9. Analysere og administrere filer, mapper og stasjoner
    10. Pakke opp og bruke verktøyene sammen

    Det er ganske mange verktøy i verktøysettet som omhandler alle slags ting som er relatert til filer eller mapper eller å finne data som du ikke visste var der, og det er noen som er litt på den dumme siden. Uansett vil vi dekke dem alle.

    De viktigste filrelaterte verktøyene i settet for å bli kjent, er sannsynligvis Sigcheck and Streams utilities, men det ville være lurt å lese gjennom dem nøye.

    Strømmer finner og viser skjulte NTFS-strømmer

    De fleste vet ikke om denne funksjonen, men Windows lar deg lagre data i et skjult rom i filsystemet som heter alternative datastrømmer. Dette fungerer i utgangspunktet ved å legge til et kolon og en unik nøkkel til slutten av et filnavn når det samhandler med det.

    For eksempel, hvis du vil gjemme noen data i en fil, kan du gjøre noe sånt ekkohemmelig> filnavn.txt: hiddenstuff og selv om du åpnet den tekstfilen i Notisblokk, ville du ikke se den "hemmelige" teksten du la til, og det ville ikke være noe annet å vite at det var til og med der. Faktisk kan du gjøre nesten alt du vil bruke denne teknikken. (Pass på å lese vår artikkel om emnet for den fulle forklaringen).

    Dette er også teknikken som gjør at Windows kan magisk vite at filene er lastet ned fra Internett, ved å skjule data i feltet Zone.Identifier. Faktisk kan du slette denne alternative datastrømmen ved hjelp av Streams-verktøyet.

    Syntaxen er enkel - for å se strømmene, skriv følgende på spørsmålet:

    strømmer

    Du kan også bruke "streams * .exe" eller noe lignende for å se alle filene med skjulte strømdata, hvis det er noen. Den raskeste måten å se noe på, er å gå inn i nedlastingsoversikten og kjøre den der.

    For å slette en av strømmen eller mange av dem, kan du bruke alternativet -d:

    bekker -d

    Du kan også bruke alternativet -s til å gå inn i underkataloger rekursivt.

    SigCheck analyserer filer som ikke er digitalt signert (som skadelig programvare)

    Dette svært nyttige verktøyet analyserer digitale signaturer av filer på systemet ditt og forteller deg om de er gyldige eller mangler et sertifikat. Du kan også bruke den til å sjekke filer mot VirusTotal fra kommandolinjen, som er praktisk, fordi det er det virkelige punktet i dette verktøyet, er å finne skadelig programvare.

    Den vanlige og mest nyttige syntaksen er å legge til -u-bryteren, som bare rapporterer problemer, og -e-bryteren, som bare kontrollerer kjørbare filer. Så du kan kjøre noe slikt for å sjekke system32-katalogen din og sørge for at alle filene er digitalt signert. Alt annet bør undersøkes veldig nøye.

    sigcheck -e -u C: \ Windows \ System32

    Du kan også bruke -v-alternativet for en ekstra sjekk mot VirusTotal, men du må bruke -vt-alternativet for første gang for å godta vilkårene sine.

    sigcheck -v-vt

    SDelete sletter filer på en sikker måte

    Hvis du er den paranoide typen, vil du være glad for å vite at du kan tørke filer på kommandolinjen når som helst. Bare bruk verktøyet sdelete til å banke filen med DoD-kompatible slettingsprotokoller. (Selvfølgelig har NSA nok en kopi av filen din). Syntaxen er enkel:

    SDelete

    Du kan alternativt rengjøre ledig plass på en stasjon ved å bruke sdelete -c alternativet, som vil ta lengre tid, men er et godt alternativ hvis du glemte å bruke sdelete for å fjerne filen i utgangspunktet.

    Contig Defragments En eller mange individuelle filer

    Hvis du vil defragmentere bare en enkelt fil eller en liste over filer, kan du bruke Contig-verktøyet til å gjøre nettopp det. Jo, du trenger ikke å defragmentere filer i moderne versjoner av Windows som gjør det automatisk. Og ja, hvis du bruker en solid state-stasjon, bør du aldri defragmentere eller trenger du. Men hvis du absolutt, positivt, må defragmentere en enkelt fil, er dette verktøyet for å gjøre det. Syntaxen er enkel:

    contig

    Hvis du vil analysere fragmenteringen av en fil uten å gjøre noe, kan du bruke -a-bryteren som vist nedenfor:

    Det er verdt å merke seg at selv om filen er fragmentert, hvis filen er veldig stor og bare er brutt i noen få store stykker, får du i det vesentlige ingenting fra defragmentering og vil ha bortkastet mer tid forstyrrer det enn du ville spare.

    du viser diskbruk

    Du kan alltid bare høyreklikke på hvilken som helst fil eller mappe i Windows Utforsker, og velg Egenskaper, eller bruk ALT + ENTER tastaturgenvei for å se størrelsen på en fil eller mappe. Men hva om du vil se dataene fra ledeteksten? Det er der du har tilgang til verktøyet, og det er også litt mer nøyaktig fordi det ikke teller symbolske koblede filer, og det kontrollerer også alternative datastrømmer.

    Alternativet -n kontrollerer bare en enkelt mappe uten å gjenopprette i underkataloger, mens -v-alternativet gjensøker og viser også hver katalog som den går gjennom listen, og alternativet -l (n) kontrollerer bare "n" -nivåer dypt. Som i, ville 2 sjekke 2 nivåer dypt.

    PendMoves Viser filer som går på neste omstart

    Har du noen gang lurt på hvorfor programinstallasjoner gjør at du starter datamaskinen på nytt? Svaret er vanligvis at de vil flytte noen filer rundt som ikke kan flyttes mens Windows kjører, slik at de bruker en innebygd Windows-funksjon som håndterer flytting eller sletting av filer ved omstart.

    Det eneste du trenger å gjøre er å kjøre kommandoen, og det vil utgjøre dataene. Hvorfor er en kopi av Process Explorer planlagt å flytte inn i Windows-mappen ved neste omstart? Les videre.

    MoveFiles flytter systemfiler når du starter på nytt

    Dette verktøyet bruker den innebygde Windows-funksjonen til å planlegge et trekk, slette eller endre navn på en fil eller katalog slik at den vil skje under neste omstartssyklus, før Windows er fullt lastet. Syntaxen er veldig enkel:

    movefile

    Hvis du vil slette en fil, kan du bruke en tom destinasjon ved å bruke anførselstegn, som movefile "". Som du ser på skjermbildet under, brukte vi Movefile-kommandoen til å planlegge en kopi av prosessoppdagelsesprogrammer som skal flyttes inn i Windows-katalogen for å illustrere hvordan alt fungerer.

    Kryssing skaper symbolske koblinger

    Windows støtter symbolske koblinger for filer og mapper, slik at du kan ha mer enn ett banepunkt til samme fil for å spare plass i stedet for å ha flere kopier av en fil. Ideen ligner snarveier, bortsett fra at dette er på filsystemnivå og innebygd i NTFS.

    Junction-verktøyet lar deg enkelt lage og slette disse koblingene. Du kan også slette dem ved hjelp av veikryss -d .

    kryss

    Virkeligheten er imidlertid at Windows siden Vista har hatt muligheten til å lage symlinks med mklink-kommandoen, og du kan også bruke den i stedet.

    FindLinks finner hardt koblinger til filer

    Dette lille verktøyet finner alle vanskelige lenker som peker på en fil. Harde koblinger er forskjellige fra symbolske koblinger, ved å slette en hard kobling sletter ikke filen faktisk hvis det er flere vanskelige lenker til den filen, det ser ut til å slette den til du har slettet alle de hardt linkene. Når du har slettet den endelige hardlinken, slettes filen.

    Merk: Dette kan faktisk være en interessant måte å sørge for at en bestemt fil ikke egentlig slettes av noen som har vane med å slette filer. Bare lag en hard link til alle filene du ikke vil at de skal tape.

    I alle fall kan du bruke denne kommandoen enkelt nok:

    findlinks

    Det eneste problemet er at Windows 7 og 8 har en innebygd kommando som gjør det samme. Bruk denne i stedet:

    fsutil hardlink liste

    Merk: Det er alltid bedre å lære å bruke de innebygde tingene når det er mulig, fordi du aldri vet når du må gjøre noe på en annen datamaskin når du ikke har verktøykassen din.

    DiskView Viser Diskstruktur

    Dette verktøyet lar deg se strukturen på harddisken din i detalj, og du kan til og med zoome helt inn og velge en fil for å markere i listen, slik at du kan se hvor en bestemt fil er på stasjonen, og også se om det er fragmentert eller ikke. Det er ikke veldig nyttig for de fleste, men forhåpentligvis har du et scenario der du kanskje må bruke den.

    Disk2vhd gjør PCer til virtuelle harddisker

    Dette verktøyet oppretter en klone på datamaskinens harddisk mens den kjører, og pakker alt sammen til en Virtual Hard Drive-fil som kan brukes i en virtuell maskin. Og det gjør dette mens PCen kjører.

    Det stemmer, du kan lage en virtuell maskin på harddisken mens datamaskinen kjører. Dette kan også være veldig nyttig for scenarier der du vil gjøre noe rettsmedisinsk analyse av en maskin, men på din egen datamaskin - du kan bare lage en klone og deretter starte den som en virtuell maskin i stedet.

    Alternativet for Vhdx forteller Disk2vhd å bruke det nyere VHDX-filformatet i stedet for VHD-filformatet, som hadde en rekke begrensninger. Som standard skal Disk2vhd lage separate filer for hver fysisk stasjon, men sett partisjoner i samme fil. Hvis du bare planlegger å legge ved denne VHD-filen til en annen virtuell maskin, eller til og med bare montere den på en vanlig Windows-datamaskin, kan du fjerne merket av partisjoner som du ikke trenger i listen. Hvis du planlegger å lage en virtuell maskin ut av det, bør du sannsynligvis la alt sjekket.

    VHD-utdatafilen kan faktisk plasseres på samme stasjon som du lager en kopi av, men vi anbefaler at du bruker en annen stasjon hvis mulig bare for å få det til å gå raskere.

    PageDefrag er utdatert

    Dette verktøyet tillot deg å defragmentere systemfiler under oppstart, men siden det ikke fungerer på nyere versjoner av Windows, bør du hoppe over det.

    Synkronisering Skriver Cached-data til disken din

    Dette verktøyet synkroniserer ganske enkelt alle hurtigbufrede data ut til disken for å sikre at alle filendringer skrives til stasjonen og ikke lagres i noen buffer et sted. Selvfølgelig bør du bruke alternativet Sikker fjerning hver gang hvis du vil være sikker på at du ikke vil miste data når du trekker en flash-stasjon.

    Disk Monitor viser deg sanntids harddisk aktivitet

    Dette verktøyet viser faktisk harddiskaktivitet som skjer i sanntid - sektorer, leser, skriver, lengden på dataene, alt er der. Det eneste problemet er at det ikke er veldig nyttig for de fleste.

    Hva er litt mer nyttig, kanskje er diskovervåkingen "Skuffelys" som du kan velge fra Alternativer-menyen. Når du aktiverer den modusen, vil den bevege seg inn i systemstatusfeltet og blinke rødt for å skrive, grønt for å lese, eller bli grått når ingenting skjer.

    Hvis bare ikonet matchet Windows 8 litt bedre.

    VolumeID Endrer stasjonens serienummer

    Har du noen gang lagt merke til hvordan hver stasjon har et serienummer som ser ut som 064B-1E81 eller noe like uinteressant? Hvis du vil endre dette serienummeret til noe morsommere, kan du gjøre det ved å bruke VolumeID-verktøyet med denne syntaksen:

    volumet XXXX-XXXX

    Vær oppmerksom på at syntaksen krever bruk av heksadesimale tegn, slik at du ikke kan skrive inn GEEK-1337 som vi gjorde, fordi det bare ikke vil fungere.

    Neste leksjon

    I morgen skal vi pakke opp serien med en titt på noen av de små verktøyene vi savnet, samt veiledning om å bruke alle verktøyene sammen, og når du skal trekke ut hvert verktøy.