Analizați și gestionați fișierele, folderele și driverele
Aproape că am terminat seria Școală Geek pe instrumentele SysInternals și astăzi vom vorbi despre toate utilitarele care vă ajută să vă ocupați de fișiere și foldere - fie că găsiți date ascunse, fie că ștergeți în siguranță un fișier.
ȘCOLAREA NAVIGAȚIEI- Care sunt instrumentele SysInternals și cum le folosiți?
- Înțelegerea Process Explorer
- Utilizând Process Explorer pentru depanarea și diagnosticarea
- Înțelegerea procesului de monitorizare
- Utilizarea monitorului de proces pentru a depana și a găsi hack-uri de registru
- Utilizarea autorunelor pentru a face față proceselor de pornire și a programelor malware
- Folosind BgInfo pentru a afișa informații despre sistem pe desktop
- Utilizarea PsTools pentru a controla alte PC-uri de la linia de comandă
- Analizați și gestionați fișierele, folderele și driverele
- Înfășurarea și utilizarea împreună a uneltelor
Există destul de puține utilități în setul de instrumente care se ocupă de tot felul de lucruri care sunt legate de fișiere sau foldere sau de găsirea datelor pe care nu le știai acolo, și există câteva care sunt puțin pe partea prostească. Oricum, le vom acoperi pe toate.
Cele mai importante instrumente legate de fișiere din kit pentru a fi cunoscute sunt probabil utilitățile Sigcheck și Streams, dar ar fi înțelept să le citiți cu atenție.
Streams găsește și afișează fluxurile NTFS ascunse
Majoritatea oamenilor nu știu despre această caracteristică, dar Windows vă va permite să stocați date într-un compartiment ascuns în sistemul de fișiere denumit fluxuri de date alternative. Acest lucru funcționează practic prin adăugarea unui colon și a unei chei unice la sfârșitul unui nume de fișier atunci când interacționează cu el.
De exemplu, dacă doriți să ascundeți unele date dintr-un fișier, puteți face ceva asemănător echo Secret> filename.txt: hiddenstuff și chiar dacă ați deschis acel fișier text în Notepad, nu ați vedea textul "secret" pe care l-ați adăugat și nu ar exista altă cale de a ști că era chiar acolo. De fapt, puteți face aproape orice doriți folosind această tehnică. (Asigurați-vă că citiți articolul nostru despre acest subiect pentru explicația completă).
Aceasta este și tehnica care permite Windows să știe că fișierele au fost descărcate de pe internet prin ascunderea datelor în câmpul Zone.Identifier. De fapt, puteți șterge acest flux alternativ de date folosind utilitarul Streams.
Sintaxa este simplă - pentru a vedea fluxurile, tastați următoarele la prompt:
fluxuri
De asemenea, puteți utiliza "streams * .exe" sau ceva similar pentru a vedea toate fișierele cu date de flux ascunse, dacă există. Cea mai rapidă modalitate de a vedea ceva este să vă îndreptați în directorul de descărcări și să îl rulați acolo.
Pentru a șterge un flux sau multe dintre ele, puteți utiliza opțiunea -d:
fluxurile -d
De asemenea, puteți utiliza opțiunea -s pentru a intra în subdirectoare recursiv.
Analizele SigCheck analizează fișierele care nu sunt semnate digital (cum ar fi malware-ul)
Această utilitate foarte utilă analizează semnăturile digitale ale fișierelor din sistemul dvs. și vă spune dacă acestea sunt valide sau lipsește un certificat. Puteți, de asemenea, să-l utilizați pentru a verifica fișierele împotriva VirusTotal din linia de comandă, care este convenabil, pentru că acesta este punctul real al acestui instrument, este de a găsi programe malware.
Sintaxa obișnuită și cea mai utilă este adăugarea comutatorului -u, care raportează numai probleme și comutatorul -e, care verifică numai fișierele executabile. Deci, ai putea rula ceva de genul asta pentru a verifica directorul system32 și asigura-te că toate fișierele pe care le-ai semnat digital. Orice altceva ar trebui să fie examinat foarte atent.
sigcheck -e-u C: \ Windows \ System32
De asemenea, puteți utiliza opțiunea -v pentru o verificare suplimentară împotriva VirusTotal, dar va trebui să utilizați prima dată opțiunea -vt pentru a accepta termenii și condițiile.
sigcheck -v -vt
SDelete șterge în siguranță fișierele
Dacă sunteți tipul paranoic, veți fi bucuroși să știți că puteți șterge în siguranță fișiere din linia de comandă ori de câte ori doriți. Folosiți doar utilitarul de ștergere pentru a împinge fișierul cu protocoale de ștergere compatibile cu DoD. (Desigur, ANS-ul are probabil o copie a dosarului dvs.). Sintaxa este simplă:
sdelete
Alternativ, puteți curăța spațiul liber de pe o unitate folosind sdelete -c opțiune, care va dura mai mult, dar este o opțiune bună dacă ați uitat să utilizați sdelete pentru a elimina fișierul în primul rând.
Congres Defragmentează unul sau mai multe fișiere individuale
Dacă doriți să defragmentați un singur fișier sau o listă de fișiere, puteți utiliza utilitarul Contig pentru a face exact acest lucru. Sigur, nu trebuie să defragmentați fișiere în versiunile moderne de Windows care o fac automat. Și da, dacă utilizați o unitate SSD, nu trebuie niciodată să defragmentați și nici nu trebuie. Dar dacă absolut, pozitiv, trebuie să defragmentați un singur fișier, acesta este utilitatea pentru a face acest lucru. Sintaxa este simplă:
contig
Dacă doriți să analizați fragmentarea unui fișier fără a face nimic, puteți folosi comutatorul -a după cum se arată mai jos:
Merită remarcat că, chiar dacă un fișier este fragmentat, dacă fișierul este foarte mare și este fragmentat doar în câteva bucăți mari, veți obține în esență nimic din defragmentare și veți pierde mai mult timp deranjând cu el decât ați salva.
du Afișează utilizarea discului
Puteți oricând să faceți clic dreapta pe orice fișier sau dosar din Windows Explorer și să alegeți Proprietăți sau să utilizați comanda rapidă ALT + ENTER pentru a vedea dimensiunea unui fișier sau a unui dosar. Dar dacă doriți să vedeți datele din comanda de comandă? Aici intră du utilitatea du și este, de asemenea, un pic mai precis, deoarece nu contează fișierele asociate simbolic și verifică și fluxurile de date alternative.
Opțiunea -n verifică numai un singur dosar, fără a recurge la subdirectoare, în timp ce opțiunea -v se recuperează și afișează de asemenea fiecare director în timp ce trece prin listă, iar opțiunea -l (n) verifică adânc nivelurile "n". Ca și în, -l 2 ar verifica 2 nivele profunde.
PendMoves afișează fișierele care se mută la repornirea următoare
V-ați întrebat vreodată de ce instalațiile de aplicații vă fac să reporniți computerul? Răspunsul este, de obicei, că vor să se miște unele fișiere care nu pot fi mutate în timp ce Windows se execută, așa că utilizează o funcție Windows încorporată care se ocupă de mutarea sau ștergerea fișierelor la repornire.
Singurul lucru pe care trebuie să-l faceți este să rulați comanda și va scoate datele. De ce este programată o copie a Process Explorer să se mute în folderul Windows la următoarea repornire? Citește mai departe.
MoveFiles Mută fișierele de sistem când reporniți
Acest utilitar utilizează caracteristica Windows încorporată pentru a programa o mutare, ștergere sau redenumire a unui fișier sau a unui director, astfel încât să se întâmple în timpul următorului ciclu de repornire, înainte ca Windows să fie încărcat complet. Sintaxa este foarte simplu:
movefile
Dacă doriți să ștergeți un fișier, puteți utiliza o destinație goală utilizând ghilimele, cum ar fi mutare fișier "". După cum puteți vedea în screenshot-ul de mai jos, am folosit comanda Movefile pentru a programa o copie a exploratorului de proces care să fie mutată în directorul Windows pentru a ilustra modul în care funcționează toate.
Junction crează legături simbolice
Windows acceptă linkuri simbolice pentru fișiere și foldere, astfel încât să aveți mai mult de un punct de cale spre același fișier pentru a economisi spațiu, în loc să aveți copii multiple ale unui fișier. Ideea este similară cu scurtăturile, cu excepția faptului că este la nivelul sistemului de fișiere și este încorporată în NTFS.
Utilitarul Junction vă permite să creați și să ștergeți ușor aceste link-uri. De asemenea, puteți să le ștergeți utilizând joncțiunea -d .
joncţiune
Realitatea este însă că Windows, din moment ce Vista a avut capacitatea de a crea simbolinks cu comanda mklink, și puteți folosi și acel.
FindLinks găsește legături greu de fișiere
Acest utilitar mic găsește toate linkurile greșite care indică un fișier. Link-urile greu se deosebesc de legăturile simbolice prin faptul că ștergerea unui link greu nu șterge fișierul în cazul în care există mai multe linkuri grele la acel fișier, ci pare să îl ștergeți până când ștergeți toate legăturile greu. După ștergerea ultimului link greu, fișierul va fi șters.
Notă: acesta ar putea fi un mod interesant de a vă asigura că un anumit fișier nu este într-adevăr eliminat de cineva care are obiceiul de a șterge fișiere. Doar creați un link greu la toate fișierele pe care nu doriți să le pierdeți.
În orice caz, puteți folosi această comandă cu ușurință:
findlinks
Singura problemă este că Windows 7 și 8 au o comandă încorporată care face același lucru. Utilizați aceasta în schimb:
fsutil lista hardlink
Notă: Este întotdeauna mai bine să înveți să folosești chestia încorporată când e posibil, pentru că nu știi niciodată când va trebui să faci ceva pe computerul altcuiva când nu ai setul de instrumente.
DiskView afișează structura discului
Acest utilitar vă permite să vedeți structura hard disk-ului în detaliu și puteți chiar să măriți și să selectați un fișier pentru a evidenția în listă, astfel încât să puteți vedea unde este un anumit fișier pe unitate și de asemenea a se vedea dacă este fragmentat sau nu. Nu este foarte util pentru majoritatea oamenilor, dar sperăm că aveți un scenariu în care ar putea fi necesar să-l utilizați.
Disk2vhd transformă PC-urile în hard-discuri virtuale
Acest utilitar creează o clonă a hard disk-ului calculatorului dvs. în timp ce rulează și o îmbină totul într-un fișier Virtual Hard Drive care poate fi utilizat într-o mașină virtuală. Și aceasta se întâmplă în timp ce PC-ul rulează.
Așa este, puteți crea o mașină virtuală a hard disk-ului în timp ce computerul dvs. funcționează. Acest lucru ar putea fi, de asemenea, foarte util pentru scenariile în care doriți să faceți o analiză criminalistică a unei mașini, dar pe propriul computer - ați putea să creați o clonă și apoi să o încărcați ca mașină virtuală.
Opțiunea pentru Vhdx îi spune Disk2vhd să utilizeze noul format de fișier VHDX în loc de formatul de fișier VHD, care a avut o serie de limitări. În mod implicit, Disk2vhd va crea fișiere separate pentru fiecare unitate fizică, dar va pune partiții în același fișier. Dacă intenționați pur și simplu să atașați acest fișier VHD la o altă mașină virtuală sau chiar să o montați pe un computer obișnuit Windows, puteți debifa partițiile pe care nu le aveți nevoie în listă. Dacă intenționați să scoateți din mașină o mașină virtuală, ar trebui să lăsați totul verificat.
Fișierul de ieșire VHD poate fi pus de fapt pe aceeași unitate în care faceți o copie, dar vă recomandăm să utilizați oa doua unitate dacă este posibil doar pentru a face totul să meargă mai repede.
PageDefrag este depășită
Acest utilitar v-a permis să defragmentați fișierele de sistem în timpul încărcării, dar deoarece nu funcționează în versiunile recente de Windows, ar trebui să o săriți.
Sincronizare scrie date stocate pe disc
Acest utilitar simplu sincronizează toate datele memorate în cache pe disc pentru a vă asigura că toate modificările fișierelor sunt scrise pe unitate și nu sunt stocate în unele tampoane undeva. Desigur, trebuie să utilizați opțiunea Sigur de ștergere de fiecare dată dacă doriți să fiți sigur că nu veți pierde date când trageți o unitate flash.
Monitorul pe disc vă arată activitatea în timp real a unității hard disk
Acest utilitar arată activitatea reală a unității hard disk întâmplătoare în timp real - sectoare, citește, scrie, lungimea datelor, totul este acolo. Singura problemă este că nu este foarte util pentru majoritatea oamenilor.
Ce este ceva mai util, poate, este monitorizarea discului "Tray Disk Light" pe care o puteți alege din meniul Opțiuni. Odată ce activați acest mod, acesta se va deplasa în tava de sistem și va clipi roșu pentru scriere, verde pentru citiri sau va rămâne gri atunci când nu se întâmplă nimic.
Dacă doar pictograma a corespuns cu Windows 8 ceva mai bine.
VolumeID Modifică numărul de serie al unității
Ați observat vreodată cum fiecare unitate are un număr de serie care arată ca 064B-1E81 sau ceva la fel de neinteresant? Dacă doriți să schimbați acest număr de serie la ceva mai distractiv, o puteți face utilizând utilitarul VolumeID cu această sintaxă:
volumul XXXX-XXXX
Rețineți că sintaxa necesită utilizarea de caractere hexazecimale, astfel încât să nu puteți scrie în GEEK-1337 ca și noi, pentru că pur și simplu nu va funcționa.
Urmatoarea lectie
Mâine vom încheia seria cu o privire la unele dintre utilitățile mici pe care le-am pierdut, precum și unele îndrumări cu privire la utilizarea tuturor instrumentelor împreună și când trebuie să scoateți fiecare instrument.