Kotisivu » koulu » Tiedostojen, kansioiden ja asemien analysointi ja hallinta

    Tiedostojen, kansioiden ja asemien analysointi ja hallinta

    Olemme melkein valmiita Geek School -sarjassa SysInternals-työkaluilla, ja tänään puhumme kaikista apuohjelmista, jotka auttavat käsittelemään tiedostoja ja kansioita - etsitkö piilotettuja tietoja tai poistat tiedoston turvallisesti.

    KOULUN NAVIGOINTI
    1. Mitkä ovat SysInternals-työkalut ja miten niitä käytetään?
    2. Process Explorerin ymmärtäminen
    3. Process Explorerin käyttäminen vianmääritykseen ja diagnosointiin
    4. Prosessimonitorin ymmärtäminen
    5. Prosessimonitorin käyttäminen vianmääritykseen ja rekisterihakujen löytämiseen
    6. Käyttämällä Autorunsia käsitellä käynnistysprosesseja ja haittaohjelmia
    7. BgInfo-sovelluksen käyttäminen järjestelmän tietojen näyttämiseen työpöydällä
    8. PsTools-ohjelman käyttäminen muiden tietokoneiden ohjaamiseen komentoriviltä
    9. Tiedostojen, kansioiden ja asemien analysointi ja hallinta
    10. Työkalujen pakkaaminen ja käyttö yhdessä

    Työkalupakissa on varsin vähän apuohjelmia, jotka käsittelevät kaikenlaisia ​​asioita, jotka liittyvät tiedostoihin tai kansioihin tai löytävät tietoja, joita et tiennyt, ja siellä on muutamia, jotka ovat hieman typerä puolella. Joko niin, me katamme ne kaikki.

    Paketin tärkeimmät tiedostoon liittyvät työkalut tutustuakseen ovat luultavasti Sigcheck- ja Streams-apuohjelmat, mutta olisi järkevää lukea ne kaikki huolellisesti.

    Streams löytää ja näyttää piilotetut NTFS-virrat

    Useimmat ihmiset eivät tiedä tästä ominaisuudesta, mutta Windows sallii tietojen tallentamisen piilotettuun osastoon tiedostojärjestelmässä, jota kutsutaan vaihtoehtoisiksi tietovirroiksi. Tämä toimii pohjimmiltaan liittämällä kaksoispiste ja ainutlaatuinen avain tiedostonimen loppuun, kun sitä käytetään.

    Jos esimerkiksi haluat piilottaa joitakin tiedostoja sisältäviä tietoja, voit tehdä jotain sellaista echo Secret> tiedostonimi.txt: piilotettu ja vaikka olisit avannut kyseisen tekstitiedoston Notepadissa, et näe lisättyäsi ”salaista” tekstiä, eikä olisi mitään muuta tapaa tietää, että se oli edes siellä. Itse asiassa voit tehdä melkein mitä haluat tämän tekniikan avulla. (Muista lukea artikkeli aiheesta täydellistä selitystä varten).

    Tämä on myös tekniikka, jonka avulla Windows voi maagisesti tietää, että tiedostot on ladattu Internetistä piilottamalla Zone.Identifier-kentän tiedot. Itse asiassa voit poistaa tämän vaihtoehtoisen tietovirran Streams-apuohjelman avulla.

    Syntaksi on yksinkertainen - voit nähdä virrat kirjoittamalla seuraavat kehotteet:

    virtoja

    Voit myös käyttää “streams * .exe” -ohjelmaa tai jotain sellaista, jos haluat nähdä kaikki tiedostot, joissa on piilotettuja stream-tietoja, jos niitä on. Nopein tapa nähdä jotain on siirtyä lataushakemistoon ja suorittaa se siellä.

    Jos haluat poistaa jonkin virran tai monet niistä, voit käyttää -d-vaihtoehtoa:

    streams -d

    Voit myös käyttää -s-vaihtoehtoa siirtyäksesi alikansioihin rekursiivisesti.

    SigCheck analysoi tiedostoja, jotka eivät ole digitaalisesti allekirjoitettuja (kuten haittaohjelmia)

    Tämä erittäin hyödyllinen apuohjelma analysoi järjestelmässä olevien tiedostojen digitaalisia allekirjoituksia ja kertoo, ovatko ne kelvollisia tai puuttuvat todistuksen. Voit myös käyttää sitä tarkistamaan VirusTotal-tiedostoja komentoriviltä, ​​mikä on kätevä, koska se on tämän työkalun todellinen kohta, on löytää haittaohjelmia.

    Normaali ja käyttökelpoinen syntaksi on lisätä -u-kytkin, joka raportoi vain ongelmista, ja -e-kytkin, joka tarkistaa vain suoritettavat tiedostot. Joten voit ajaa jotain tällaista, jotta voisit tarkistaa system32-hakemistosi ja varmistaa, että kaikki tiedostot on allekirjoitettu digitaalisesti. Muita asioita olisi tarkasteltava tarkasti.

    sigcheck -e -u C: Windows System32

    Voit myös käyttää -v-vaihtoehtoa lisätarkistukseen VirusTotalia vastaan, mutta sinun on käytettävä -vt-vaihtoehtoa ensimmäistä kertaa hyväksymään niiden ehdot.

    sigcheck -v -vt

    SDelete poistaa turvallisesti tiedostot

    Jos olet paranoinen tyyppi, tiedät, että voit turvallisesti pyyhkiä tiedostot komentoriviltä milloin tahansa. Käytä vain sdelete-apuohjelmaa, kun haluat hakata tiedoston DoD-yhteensopivilla poistoprotokollilla. (Tietenkin NSA: lla on luultavasti jäljennös tiedostostasi). Syntaksi on yksinkertainen:

    sdelete

    Voit myös puhdistaa aseman vapaan tilan käyttämällä sdelete -c vaihtoehto, joka kestää kauemmin, mutta on hyvä vaihtoehto, jos unohdit käyttää sdelete-tiedostoa poistamaan tiedoston ensiksi.

    Contig defragmentoi yhden tai useita yksittäisiä tiedostoja

    Jos haluat eheyttää vain yhden tiedoston tai tiedostojen luettelon, voit käyttää Contig-apuohjelmaa juuri niin. Varmasti, sinun ei tarvitse eheyttää tiedostoja nykyaikaisissa Windows-versioissa, jotka tekevät sen automaattisesti. Ja kyllä, jos käytät kiinteän aseman asemaa, sinun ei pitäisi koskaan eheyttää eikä tarvitse. Mutta jos ehdottomasti, positiivisesti, sinun täytyy eheyttää yksi tiedosto, tämä on apuohjelma. Syntaksi on yksinkertainen:

    contig

    Jos haluat analysoida tiedoston pirstoutumista ilman mitään tekemistä, voit käyttää -a-kytkintä alla esitetyllä tavalla:

    On syytä huomata, että vaikka tiedosto on pirstoutunut, jos tiedosto on hyvin suuri ja vain murtuu muutamaksi suureksi kappaleena, voit saada olennaisilta osin mitään eheytyksestä ja tuhlata enemmän aikaa häiritsemällä sitä kuin säästät.

    du Näyttää levyn käytön

    Voit aina napsauttaa hiiren kakkospainikkeella mitä tahansa tiedostoa tai kansiota Windowsin Resurssienhallinnassa ja valita Ominaisuudet tai käytä ALT + ENTER -näppäinkomentoa nähdäksesi tiedoston tai kansion koon. Mutta mitä jos haluat nähdä nämä tiedot komentokehotteesta? Siellä tulee du-apuohjelma, ja se on myös hieman tarkempi, koska se ei sisällä symbolisia linkitettyjä tiedostoja, ja se tarkistaa myös vaihtoehtoiset tietovirrat.

    -N-vaihtoehto tarkistaa vain yhden kansion ilman uudelleenlähetystä alihakemistoihin, kun taas -v-vaihtoehto toistuu ja näyttää myös jokaisen hakemiston, kun se kulkee luettelon läpi, ja -l (n) -vaihtoehto tarkistaa vain n-tasot syvälle. Kuten, l 2 tarkistaa 2 tasoa syvälle.

    PendMoves Näyttää tiedostot, jotka siirtyvät seuraavaan uudelleenkäynnistykseen

    Oletko koskaan miettinyt, miksi sovelluksen asennus tekee tietokoneesi uudelleenkäynnistyksen? Vastaus on yleensä, että he haluavat siirtää joitakin tiedostoja, joita ei voi siirtää, kun Windows on käynnissä, joten he käyttävät sisäänrakennettua Windows-ominaisuutta, joka käsittelee tiedostojen siirtämistä tai poistamista uudelleenkäynnistyksessä.

    Ainoa asia, joka sinun tarvitsee tehdä, on suorittaa komento, ja se lähettää tiedot. Miksi Process Explorerin kopion on tarkoitus siirtyä Windows-kansioon seuraavan uudelleenkäynnistyksen aikana? Jatka lukemista.

    MoveFiles siirtää järjestelmän tiedostot kun käynnistät uudelleen

    Tämä apuohjelma käyttää sisäänrakennettua Windows-ominaisuutta ajastamaan tiedoston tai hakemiston siirtämistä, poistamista tai nimeämistä uudelleen niin, että se tapahtuu seuraavan uudelleenkäynnistyksen aikana ennen kuin Windows on ladattu täyteen. Syntaksi on todella yksinkertainen:

    movefile

    Jos haluat poistaa tiedoston, voit käyttää tyhjää kohdetta käyttämällä lainausmerkkejä movefile “”. Kuten näet alla olevassa kuvassa, käytimme Movefile-komentoa ajastamaan kopio prosessinhallinnasta, joka siirretään Windows-hakemistoon, jotta voidaan havainnollistaa, miten se toimii.

    Junction luo symbolisia linkkejä

    Windows tukee symbolisia linkkejä tiedostoille ja kansioille, jotta voit olla useampi kuin yksi polku samaan tiedostoon säästääkseen tilaa sen sijaan, että tiedostosta olisi useita kopioita. Ajatus on samanlainen kuin pikakuvakkeet, paitsi että se on tiedostojärjestelmän tasolla ja se on rakennettu NTFS-järjestelmään.

    Junction-apuohjelman avulla voit luoda ja poistaa nämä linkit helposti. Voit myös poistaa ne käyttämällä risteys -d .

    liittymä

    Todellisuus on kuitenkin se, että Windows, koska Vista on kyennyt luomaan linkkejä mklink-komennolla, voit käyttää sitä myös.

    FindLinks löytää kova linkkejä tiedostoihin

    Tämä pieni apuohjelma löytää kaikki tiedostolle osoitetut kovat linkit. Kovat linkit poikkeavat symbolisista linkeistä siinä, että yhden kovan linkin poistaminen ei oikeastaan ​​poista tiedostoa, jos siihen on enemmän kovia linkkejä, se näyttää vain poistavan sen, kunnes olet poistanut kaikki kovat linkit. Kun olet poistanut lopullisen kovan linkin, tiedosto poistetaan.

    Huomautus: tämä voisi olla mielenkiintoinen tapa varmistaa, että joku, joka on tottunut poistamaan tiedostoja, ei poista tiettyä tiedostoa. Luo vain kova linkki kaikkiin tiedostoihin, joita et halua niiden häviävän.

    Joka tapauksessa voit käyttää tätä komentoa tarpeeksi helposti:

    findlinks

    Ainoa ongelma on, että Windows 7: ssä ja 8: ssa on sisäänrakennettu komento, joka tekee saman. Käytä tätä:

    fsutil hardlink -luettelo

    Huomautus: On aina parempi oppia käyttämään sisäänrakennettua tavaraa mahdollisuuksien mukaan, koska et koskaan tiedä milloin sinun täytyy tehdä jotain jonkun muun tietokoneella, kun sinulla ei ole työkalupakettia.

    DiskView näyttää levyn rakenteen

    Tämän apuohjelman avulla voit nähdä kiintolevyn rakenteen yksityiskohtaisesti, ja voit jopa zoomata kokonaan ja valita tiedoston korostamaan luettelossa, joten voit nähdä, mihin tietty tiedosto on asemassa, ja myös katso, onko se hajanaista vai ei. Se ei ole kovin hyödyllinen useimmille ihmisille, mutta toivottavasti sinulla on skenaario, jossa saatat joutua käyttämään sitä.

    Disk2vhd Muuttaa tietokoneet virtuaalisiksi kiintolevyiksi

    Tämä apuohjelma luo tietokoneen kiintolevyn kloonin, kun se on käynnissä, ja yhdistää sen kaikki virtuaaliseen kiintolevyasemaan, jota voidaan käyttää virtuaalikoneessa. Ja se tekee tämän tietokoneen ollessa käynnissä.

    Tämä on oikein, voit luoda kiintolevyn virtuaalikoneen tietokoneen ollessa käynnissä. Tämä voisi myös olla todella hyödyllistä tilanteissa, joissa haluat tehdä jonkinlaisen rikosteknisen analyysin koneesta, mutta omasta tietokoneestasi - voit vain luoda kloonin ja käynnistää sen sitten virtuaalikoneena.

    Vhdx-vaihtoehdon avulla Disk2vhd käyttää uudempaa VHDX-tiedostomuotoa VHD-tiedostomuodon sijaan, jolla oli useita rajoituksia. Oletusarvoisesti Disk2vhd luo erilliset tiedostot jokaiselle fyysiselle asemalle, mutta sijoittavat osiot samaan tiedostoon. Jos aiot vain liittää tämän VHD-tiedoston toiseen virtuaalikoneeseen tai vain asentaa sen tavalliseen Windows-tietokoneeseen, voit poistaa merkinnät osioista, joita et tarvitse luettelossa. Jos aiot tehdä virtuaalikoneen pois, sinun pitäisi luultavasti jättää kaikki tarkistettu.

    VHD-lähdetiedosto voidaan tosiasiallisesti sijoittaa samaan asemaan, josta teet kopion, mutta suosittelemme toisen aseman käyttämistä, jos mahdollista, jotta se kaikki menee nopeammin.

    PageDefrag on vanhentunut

    Tämän apuohjelman avulla voit defragmentoida järjestelmätiedostot käynnistyksen aikana, mutta koska se ei toimi Windowsin viimeisimmissä versioissa, sinun on ohitettava se.

    Synkronointi Kirjoittaa välimuistiin tallennetut tiedot levylle

    Tämä apuohjelma yksinkertaisesti synkronoi kaikki välimuistiin tallennetut tiedot levylle varmistaakseen, että kaikki tiedoston muutokset kirjoitetaan asemaan ja että niitä ei tallenneta johonkin puskuriin. Sinun pitäisi tietysti käyttää Poista turvallisesti -vaihtoehtoa joka kerta, jos haluat olla varma, ettet menetä tietoja, kun vedät flash-asemaa.

    Levyn valvonta näyttää reaaliaikaisen kiintolevyn toiminnan

    Tämä apuohjelma näyttää todellisen kiintolevyn aktiviteetin reaaliajassa - sektorit, lukee, kirjoittaa, datan pituuden. Ainoa ongelma on se, että se ei ole kovin hyödyllinen useimmille ihmisille.

    Ehkäpä hieman hyödyllisempi on levynvalvonta ”Tray Disk Light”, jonka voit valita Asetukset-valikosta. Kun olet ottanut tämän tilan käyttöön, se siirtyy järjestelmälokeroon ja vilkkuu punaisena kirjoitusten, vihreiden lukemien tai pysyvän harmaana, kun mitään ei tapahdu.

    Jos vain kuvake vastasi Windows 8: a hieman paremmin.

    VolumeID Muuttaa aseman sarjanumeroa

    Oletko koskaan huomannut, kuinka jokaisella asemalla on sarjanumero, joka näyttää 064B-1E81: stä tai jotain yhtä kiinnostavaa? Jos haluat vaihtaa sarjanumeron hauskemmaksi, voit tehdä sen käyttämällä tämän syntaksin VolumeID-apuohjelmaa:

    volumeid XXXX-XXXX

    Huomaa, että syntaksi vaatii heksadesimaalimerkkejä, joten et voi kirjoittaa GEEK-1337: a, kuten teimme, koska se ei toimi.

    Seuraava oppitunti

    Huomenna aiomme lopettaa sarjan katsomalla joitakin niistä pienistä apuohjelmista, joita me jäimme käyttämättä, sekä joitakin ohjeita kaikkien työkalujen käytöstä yhdessä, ja kun sinun pitäisi vetää pois kaikki työkalut.