Fájlok, mappák és meghajtók elemzése és kezelése
Majdnem készen állunk a Geek School sorozatunkkal a SysInternals eszközökön, és ma arról fogunk beszélni, hogy milyen segédprogramok segítenek kezelni a fájlokat és mappákat - akár rejtett adatokat talál, akár biztonságosan töröl egy fájlt.
SCHOOL NAVIGÁCIÓ- Mik a SysInternals eszközök és hogyan használják őket??
- A Process Explorer megértése
- A Process Explorer használata a hibaelhárításhoz és a diagnózishoz
- A Process Monitor megértése
- A Process Monitor használata a rendszerleíró adatbázisok hibaelhárításához és kereséséhez
- Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
- A BgInfo használata a rendszerinformációk megjelenítése az asztalon
- A PsTools használata más PC-k vezérlésére a parancssorból
- Fájlok, mappák és meghajtók elemzése és kezelése
- Az Eszközök együttes csomagolása és használata
Az eszközkészletben sok segédprogram létezik, amelyek mindenféle dologra vonatkoznak, amelyek fájlokkal vagy mappákkal kapcsolatosak, vagy olyan adatok megtalálására, amelyekről nem tudtál, és van néhány, ami egy kicsit a buta oldalon. Akárhogy is, mindet lefedjük.
A készlet legfontosabb fájljainak megismerése valószínűleg a Sigcheck és a Streams segédprogramok, de bölcs dolog, hogy olvassa át őket minden óvatosan.
A patakok megtalálják és megjelenítik a rejtett NTFS-folyamokat
A legtöbb ember nem ismeri ezt a szolgáltatást, de a Windows lehetővé teszi, hogy adatokat tároljon egy rejtett rekeszben a fájlrendszerben, más néven adatfolyamokat. Ez alapvetően egy kettőspont és egy egyedi kulcs hozzáadásával működik egy fájlnév végéhez, amikor vele kommunikál.
Például, ha valamilyen adatot szeretnénk elrejteni egy fájlban, valami ilyesmit lehet tenni echo Secret> fájlnév.txt: rejtett és még akkor is, ha a Jegyzettömbben megnyitotta ezt a szövegfájlt, nem látná a hozzáadott „Titkos” szöveget, és nem lenne más módja annak, hogy tudjuk, hogy még ott van. Valójában szinte bármit tehetsz, amit akarsz ezzel a technikával. (Győződjön meg róla, hogy olvassa el cikkünket a teljes magyarázatért).
Ez az a technika, amely lehetővé teszi a Windows számára, hogy varázslatosan tudja, hogy a fájlokat letöltötték az internetről, a Zone.Identifier mezőben lévő adatok elrejtésével. Valójában törölheti ezt az alternatív adatfolyamot a Streams segédprogram segítségével.
A szintaxis egyszerű - az adatfolyamok megtekintéséhez írja be a következő parancsot:
patakok
Használhatja a „streams * .exe” -t, vagy ilyesmit, hogy az összes rejtett adatfolyamot tartalmazó fájlt láthassa, ha van ilyen. A leggyorsabb módja annak, hogy valamit láthasson a letöltési könyvtárba, és fusson ott.
Az egyik vagy több adatfolyam törléséhez használhatja a -d opciót:
streams -d
A -s opciót is használhatja a rekurzív alkönyvtárakba.
SigCheck elemzi a digitálisan nem aláírt fájlokat (mint a rosszindulatú programok)
Ez a nagyon hasznos segédprogram elemzi a rendszeren lévő fájlok digitális aláírásait, és megmondja, hogy érvényesek vagy hiányoznak-e a tanúsítvány. Azt is használhatja, hogy ellenőrizze a VirusTotal fájlokat a parancssorból, ami kényelmes, mert ez az eszköz tényleges pontja, hogy megtalálja a rosszindulatú programokat.
A normál és leghasznosabb szintaxis az, hogy hozzáadjuk a -u kapcsolót, amely csak problémákat jelent, és a -e kapcsolót, amely csak a futtatható fájlokat ellenőrzi. Így futtathat ilyet, hogy ellenőrizze a system32 könyvtárat, és győződjön meg róla, hogy az összes fájl digitálisan alá van írva. Mindent meg kell vizsgálni nagyon szorosan.
sigcheck -e -u C: Windows rendszer32
A -v opciót további ellenőrzésre is használhatja a VirusTotal ellen, de először az -vt opciót kell használnia, hogy elfogadja a feltételeket és feltételeket.
sigcheck -v -vt
SDelete biztonságosan törli a fájlokat
Ha a paranoiás típus, akkor örömmel fogja tudni, hogy biztonságosan törölheti a fájlokat a parancssorból bármikor. Csak használja a sdelete segédprogramot a fájl DoD-kompatibilis törlési protokollokkal való ütéshez. (Természetesen az NSA valószínűleg még mindig rendelkezik a fájl másolatával). A szintaxis egyszerű:
sdelete
A meghajtó szabad helyét a sdelete -c opció, amely hosszabb időt vesz igénybe, de jó választás, ha elfelejtette használni a sdelete fájlt a fájl első eltávolításához.
Contig Defragments Egy vagy több egyéni fájl
Ha csak egy fájlt, vagy egy fájllistát szeretne töredezettíteni, akkor a Contig segédprogramot használhatja. Persze, nincs szükséged a Windows korszerű verzióiban lévő fájlok automatikus töredezettségmentesítésére. És igen, ha szilárdtestalapú meghajtót használ, soha nem szabad töredezettségmentesítenie és nem kell. De ha feltétlenül, pozitívan kell defragmentálnod egy fájlt, akkor ez a segédprogram. A szintaxis egyszerű:
kontig
Ha szeretné elemezni a fájl töredezettségét anélkül, hogy ténylegesen csinálna valamit, használhatja az -a kapcsolót az alábbiak szerint:
Érdemes megjegyezni, hogy még akkor is, ha egy fájl töredezett, ha a fájl nagyon nagy, és csak néhány nagy darabra bomlik, akkor lényegében semmit sem fog kapni a töredezettségmentesítésből, és több időt fog elszenvedni vele, mint amennyit mentene.
du A lemezhasználatot mutatja
A Windows Intézőben mindig kattintson a jobb egérgombbal bármely fájlra vagy mappára, és válassza a Tulajdonságok lehetőséget, vagy használja az ALT + ENTER billentyűparancsot a fájl vagy mappa méretének megtekintéséhez. De mi van, ha szeretné látni, hogy az adatok a parancssorból? Ott jön be a du segédprogram, és ez egy kicsit pontosabb is, mert nem számít szimbolikus kapcsolt fájlokat, és ellenőrzi az alternatív adatfolyamokat is.
A -n opció csak egyetlen mappát ellenőrzi, az alkönyvtárakba való újbóli bevitel nélkül, míg a -v opció ismétlődik, és az egyes könyvtárakat is megjeleníti a listán keresztül, és az -l (n) opció csak az „n” szinteket mélyen ellenőrzi. Mint az, a -l 2 a 2 szintet mélyen ellenőrzi.
A PendMoves a következő újraindításkor megjelenő fájlokat jeleníti meg
Elgondolkozott már azon, hogy miért telepíti újra az alkalmazást a számítógép? A válasz általában arról szól, hogy néhány olyan fájlt át akar mozogni, amelyek nem mozoghatnak a Windows futása közben, így a beépített Windows-funkciót használják, amely kezeli az újraindított fájlok mozgatását vagy törlését.
Az egyetlen dolog, amit meg kell tennie a parancs futtatásával, és az adatokat továbbítja. Miért tervezték a Process Explorer másolatát a következő újraindításkor a Windows mappába való áthelyezésre? Olvass tovább.
A MoveFiles áthelyezi a rendszerfájlokat újraindításkor
Ez a segédprogram a beépített Windows funkciót használja egy fájl vagy könyvtár áthelyezésének, törlésének vagy átnevezésének ütemezéséhez, hogy ez a következő újraindítási ciklus alatt történjen, mielőtt a Windows teljesen betöltődik. A szintaxis nagyon egyszerű:
movefile
Ha törölni szeretne egy fájlt, akkor az idézetek segítségével üres célt használhat movefile „”. Amint az alábbi ábrán látható, a Movefile parancsot használtuk a Windows Explorer könyvtárba költözendő folyamat explorer másolatának ütemezésére, hogy bemutassuk, hogyan működik minden.
Junction szimbolikus linkeket hoz létre
A Windows támogatja a fájlok és mappák szimbolikus linkjeit, így több útvonal is lehet ugyanarra a fájlra, hogy helyet takarítson meg, ahelyett, hogy több fájlt másolna. Az ötlet hasonló a parancsikonokhoz, kivéve, ha a fájlrendszer szintjén van, és az NTFS-be épült.
A Junction segédprogram segítségével könnyedén létrehozhatja és törölheti ezeket a hivatkozásokat. Törölheti azokat is junction -d .
csomópont
A valóság azonban az, hogy a Windows, mivel a Vista óta képes arra, hogy szimbolikus linkeket hozzon létre a mklink paranccsal, és lehet, hogy ezt is használhatja..
A FindLinks a kemény hivatkozásokat találja a fájlokra
Ez a kis segédprogram megtalálja a fájlra mutató összes kemény linket. A kemény linkek különböznek a szimbolikus hivatkozásoktól, hogy egy kemény hivatkozás törlése nem törli a fájlt, ha több kemény link van a fájlra, csak úgy tűnik, hogy törli azt, amíg nem törölte az összes kemény hivatkozást. Miután törölte az utolsó kemény linket, a fájl törlődik.
jegyzet: ez valóban érdekes módja annak, hogy biztosítsuk, hogy egy adott fájl valóban nem törlődik valakitől, aki a fájl törlésének szokása. Csak hozzon létre egy kemény hivatkozást az összes olyan fájlhoz, amelyet nem szeretne elveszíteni.
Mindenesetre könnyen használhatja ezt a parancsot:
findlinks
Az egyetlen probléma az, hogy a Windows 7 és 8 beépített paranccsal ugyanaz a dolog. Használja ezt:
fsutil hardlink lista
Jegyzet: Mindig jobb megtanulni a beépített dolgokat, ha lehetséges, mert soha nem tudhatod, mikor kell valamit csinálni valaki más számítógépén, ha nincs eszközkészleted.
A DiskView megjeleníti a lemezszerkezetet
Ez a segédprogram lehetővé teszi, hogy a merevlemez szerkezetét részletesen megnézze, sőt még az egészet is nagyíthatja, és kiválaszthatja a listában kiemelni kívánt fájlt, így láthatja, hogy egy adott fájl van-e a meghajtón, és nézd meg, hogy töredezett-e vagy sem. A legtöbb ember számára ez nem szörnyen hasznos, de remélhetőleg van egy olyan forgatókönyve, ahol szükség lehet rá.
Disk2vhd A számítógépeket virtuális merevlemezekké alakítja
Ez a segédprogram a számítógép merevlemezének klónját hozza létre, miközben fut, és egy virtuális merevlemez-fájlba kötegeli, amely egy virtuális gépben használható. Ez a számítógép futásakor is megtörténik.
Ez így van, akkor létrehozhat egy virtuális gépet a merevlemezéről, amíg a számítógép fut. Ez valóban hasznos lehet olyan forgatókönyvek esetén is, ahol valamilyen törvényszéki elemzést szeretne elvégezni egy gépen, de saját számítógépén - csak létrehozhat egy klónot, majd virtuális gépként indíthatja el azt.
A Vhdx opciója azt mondja a Disk2vhd-nek, hogy a VHD fájlformátum helyett az új VHDX fájlformátumot használja, amely számos korlátozással rendelkezik. Alapértelmezés szerint a Disk2vhd különálló fájlokat fog létrehozni minden fizikai meghajtóra, de a partíciókat ugyanabba a fájlba helyezi. Ha egyszerűen csak ezt a VHD fájlt kívánja csatolni egy másik virtuális géphez, vagy éppen csak rendszeres Windows-számítógépre csatlakoztatja, akkor törölheti a listán nem szükséges partíciókat. Ha azt tervezi, hogy virtuális gépet készít belőle, akkor valószínűleg mindent ellenőrizni kell.
A VHD kimeneti fájl ugyanazon a meghajtón helyezhető el, amelyről másolatot készít, de javasoljuk, hogy használjon egy második meghajtót, ha lehetséges, hogy mindent gyorsabban tudjon elérni.
PageDefrag elavult
Ez a segédprogram lehetővé tette a rendszerfájlok töredezettségmentesítését a rendszerindítás során, de mivel nem működik a Windows legújabb verzióiban, hagyja ki azt.
A szinkronizálás a gyorsítótárban tárolt adatokat írja a lemezre
Ez a segédprogram egyszerűen szinkronizálja az összes gyorsítótárazott adatot a lemezre annak érdekében, hogy az összes fájlváltozat a meghajtóra kerüljön, és ne tároljon valamilyen pufferben. Természetesen minden alkalommal használnia kell a Biztonságos eltávolítás opciót, ha biztos akarsz róla, hogy nem fogja elveszíteni az adatait, amikor egy flash meghajtót húz.
A Disk Monitor megmutatja a valós idejű merevlemez-tevékenységet
Ez a segédprogram a valós idejű valós idejű merevlemez-tevékenységeket mutatja be - szektorokban, olvasásban, írásokban, az adatok hosszában. Az egyetlen probléma az, hogy nem túlságosan hasznos a legtöbb ember számára.
Lehet, hogy egy kicsit hasznosabb, ha a lemezfigyelő „Tray Disk Light” opciót választja az Options menüből. Miután engedélyezte ezt az üzemmódot, a rendszer átmegy a tálcára, és pirosra villog az írásokhoz, zöld az olvasáshoz, vagy szürke marad, ha nem történik semmi..
Ha az ikon csak egy kicsit jobban illeszkedik a Windows 8-hoz.
VolumeID Megváltoztatja a meghajtó sorozatszámát
Észrevetted már valaha, hogy minden meghajtónak van egy sorszáma, ami úgy néz ki, mint a 064B-1E81, vagy valami hasonlóan érdektelen? Ha azt szeretné, hogy a sorozatszámot valami szórakoztatóbbá tegye, akkor ezt a szintaxist használó VolumeID segédprogram segítségével teheti meg:
XXXX-XXXX
Kérjük, vegye figyelembe, hogy a szintaxis hexadecimális karaktereket igényel, így nem írhat be olyan GEEK-1337-et, mint mi, mert csak nem fog működni.
Következő lecke
Holnap meg fogjuk becsomagolni a sorozatot, hogy megnézzük néhány kis segédprogramot, amit hiányoztunk, valamint néhány útmutatót az összes eszköz használatáról, és amikor minden eszközt ki kell húzni.