Анализ и управление вашими файлами, папками и дисками
Мы почти закончили с нашей серией Geek School об инструментах SysInternals, и сегодня мы поговорим обо всех утилитах, которые помогают вам иметь дело с файлами и папками - находите ли вы скрытые данные или безопасно удаляете файл.
ШКОЛЬНАЯ НАВИГАЦИЯ- Что такое инструменты SysInternals и как вы ими пользуетесь?
- Понимание Process Explorer
- Использование Process Explorer для устранения неполадок и диагностики
- Понимание Process Monitor
- Использование Process Monitor для устранения неполадок и поиска взлома реестра
- Использование автозапуска для работы с процессами запуска и вредоносными программами
- Использование BgInfo для отображения системной информации на рабочем столе
- Использование PsTools для управления другими ПК из командной строки
- Анализ и управление вашими файлами, папками и дисками
- Заключение и совместное использование инструментов
В наборе инструментов довольно много утилит, которые имеют дело со всевозможными вещами, которые связаны с файлами или папками или с поиском данных, о которых вы не знали, и некоторые из них немного глупы. В любом случае, мы будем покрывать их всех.
Наиболее важными инструментами, относящимися к файлам в наборе для ознакомления, являются, вероятно, утилиты Sigcheck и Streams, но было бы разумно внимательно прочитать их все..
Потоки Находит и отображает скрытые потоки NTFS
Большинство людей не знают об этой функции, но Windows позволит вам хранить данные внутри скрытого отсека в файловой системе, называемой альтернативными потоками данных. Это в основном работает, добавляя двоеточие и уникальный ключ в конец имени файла при взаимодействии с ним.
Например, если вы хотите скрыть некоторые данные в файле, вы можете сделать что-то вроде echo Secret> filename.txt: hiddenstuff и даже если вы откроете этот текстовый файл в Блокноте, вы не увидите добавленный вами «Секретный» текст, и не было бы другого способа узнать, что он там есть. На самом деле, вы можете делать почти все, что вы хотите, используя эту технику. (Обязательно прочитайте нашу статью на эту тему для полного объяснения).
Это также метод, который позволяет Windows магическим образом знать, что файлы были загружены из Интернета, скрывая данные в поле Zone.Identifier. Фактически, вы можете удалить этот альтернативный поток данных с помощью утилиты Streams..
Синтаксис прост - чтобы увидеть потоки, введите в приглашении следующее:
потоки
Вы также можете использовать «streams * .exe» или что-то в этом роде, чтобы увидеть все файлы со скрытыми данными потока, если они есть. Самый быстрый способ увидеть что-то - это зайти в каталог загрузок и запустить его там..
Чтобы удалить один или несколько потоков, вы можете использовать опцию -d:
потоки -d
Вы также можете использовать опцию -s для рекурсивного входа в подкаталоги..
SigCheck анализирует файлы без цифровой подписи (например, вредоносные программы)
Эта очень полезная утилита анализирует цифровые подписи файлов в вашей системе и сообщает вам, действительны ли они или нет сертификата. Вы также можете использовать его для проверки файлов на VirusTotal из командной строки, что удобно, поскольку в этом и заключается реальная цель этого инструмента - найти вредоносное ПО..
Обычный и наиболее полезный синтаксис - добавить ключ -u, который сообщает только о проблемах, и ключ -e, который проверяет только исполняемые файлы. Таким образом, вы можете запустить что-то вроде этого, чтобы проверить каталог system32 и убедиться, что все файлы там имеют цифровую подпись. Все остальное следует изучить очень внимательно.
sigcheck -e -u C: \ Windows \ System32
Вы также можете использовать опцию -v для дополнительной проверки VirusTotal, но вам придется использовать опцию -vt в первый раз, чтобы принять их условия и положения..
sigcheck -v -vt
SDelete надежно удаляет файлы
Если вы параноик, вы будете рады узнать, что можете безопасно удалять файлы из командной строки в любое время. Просто используйте утилиту sdelete для удаления файла с помощью DoD-совместимых протоколов удаления. (Конечно, у АНБ, вероятно, еще есть копия вашего файла). Синтаксис прост:
SDelete
Вы также можете очистить свободное место на диске, используя sdelete -c опция, которая займет больше времени, но это хороший вариант, если вы забыли использовать sdelete для удаления файла в первую очередь.
Contig дефрагментирует один или несколько отдельных файлов
Если вы хотите дефрагментировать только один файл или список файлов, вы можете использовать утилиту Contig, чтобы сделать это. Конечно, вам не нужно дефрагментировать файлы в современных версиях Windows, которые делают это автоматически. И да, если вы используете твердотельный накопитель, вы никогда не должны дефрагментировать, и вам это не нужно. Но если вам абсолютно необходимо выполнить дефрагментацию одного файла, это утилита для этого. Синтаксис прост:
арендуемая
Если вы хотите проанализировать фрагментацию файла, фактически ничего не делая, вы можете использовать ключ -a, как показано ниже:
Стоит отметить, что даже если файл фрагментирован, если файл очень большой и разбит на несколько больших кусков, вы практически ничего не получите от дефрагментации и потратите на это больше времени, чем на сохранение.
du показывает использование диска
Вы всегда можете просто щелкнуть правой кнопкой мыши любой файл или папку в проводнике Windows и выбрать «Свойства», либо использовать сочетание клавиш ALT + ENTER, чтобы просмотреть размер файла или папки. Но что, если вы хотите увидеть эти данные из командной строки? Вот где появляется утилита du, и она также немного более точна, потому что она не считает символически связанные файлы и также проверяет альтернативные потоки данных..
Опция -n проверяет только одну папку, без повторения в подкаталогах, в то время как опция -v рекурсирует и также показывает каждый каталог по мере его прохождения по списку, а опция -l (n) проверяет только глубину «n» уровней. Как и в случае, -l 2 проверит 2 уровня.
PendMoves отображает файлы, перемещающиеся при следующей перезагрузке
Задумывались ли вы, почему при установке приложений вы перезагружаете компьютер? Ответ обычно заключается в том, что они хотят переместить некоторые файлы, которые нельзя перемещать во время работы Windows, поэтому они используют встроенную функцию Windows, которая обрабатывает перемещение или удаление файлов при перезагрузке..
Единственное, что вам нужно сделать, это запустить команду, и она выведет данные. Почему копия Process Explorer запланирована для перемещения в папку Windows при следующей перезагрузке? Читать дальше.
MoveFiles перемещает системные файлы при перезагрузке
Эта утилита использует встроенную функцию Windows, чтобы запланировать перемещение, удаление или переименование файла или каталога, чтобы это произошло во время следующего цикла перезагрузки, до полной загрузки Windows. Синтаксис действительно прост:
MoveFile
Если вы хотите удалить файл, вы можете использовать пустое место назначения с помощью кавычек, например Movefile «». Как вы можете видеть на скриншоте ниже, мы использовали команду Movefile, чтобы запланировать перемещение обозревателя процессов в каталог Windows, чтобы проиллюстрировать, как все это работает..
Junction создает символические ссылки
Windows поддерживает символические ссылки для файлов и папок, так что вы можете иметь более одной точки пути к одному и тому же файлу для экономии места вместо нескольких копий файла. Идея похожа на ярлыки, за исключением того, что это на уровне файловой системы и встроено в NTFS.
Утилита Junction позволяет легко создавать и удалять эти ссылки. Вы также можете удалить их, используя перекресток -d .
соединение
Однако реальность такова, что Windows, начиная с Vista, имела возможность создавать символические ссылки с помощью команды mklink, и вы можете использовать ее вместо.
FindLinks находит жесткие ссылки на файлы
Эта маленькая утилита находит все жесткие ссылки, указывающие на файл. Жесткие ссылки отличаются от символических ссылок тем, что удаление одной жесткой ссылки на самом деле не удаляет файл, если есть более жесткие ссылки на этот файл, он просто удаляет его, пока вы не удалите все жесткие ссылки. Как только вы удалите последнюю жесткую ссылку, файл будет удален.
ЗаметкаЭто может быть интересным способом убедиться, что конкретный файл не был действительно удален кем-то, кто имеет привычку удалять файлы. Просто создайте жесткую ссылку на все файлы, которые вы не хотите, чтобы они потеряли.
В любом случае вы можете использовать эту команду достаточно легко:
findlinks
Единственная проблема заключается в том, что Windows 7 и 8 имеют встроенную команду, которая делает то же самое. Используйте это вместо этого:
список жестких ссылок
Замечания: Всегда лучше научиться использовать встроенные функции, когда это возможно, потому что вы никогда не знаете, когда вам нужно будет что-то делать на чужом компьютере, когда у вас нет своего инструментария.
DiskView отображает структуру диска
Эта утилита позволяет вам увидеть структуру вашего жесткого диска в деталях, и вы можете даже полностью увеличить масштаб и выбрать файл для выделения в списке, чтобы вы могли видеть, где конкретный файл находится на диске, а также посмотрите, фрагментировано это или нет. Это не очень полезно для большинства людей, но, надеюсь, у вас есть сценарий, где вам может понадобиться его использовать.
Disk2vhd превращает ПК в виртуальные жесткие диски
Эта утилита создает клон жесткого диска вашего компьютера во время его работы и объединяет все это в файл виртуального жесткого диска, который можно использовать на виртуальной машине. И это происходит во время работы ПК.
Правильно, вы можете создать виртуальную машину на своем жестком диске, когда ваш компьютер работает. Это также может быть очень полезно для сценариев, в которых вы хотите провести некоторый судебный анализ машины, но на своем собственном компьютере - вы можете просто создать клон и затем загрузить его как виртуальную машину.
Опция для Vhdx указывает Disk2vhd использовать более новый формат файла VHDX вместо формата файла VHD, который имеет ряд ограничений. По умолчанию Disk2vhd собирается создавать отдельные файлы для каждого физического диска, но помещать разделы в один и тот же файл. Если вы просто планируете присоединить этот VHD-файл к другой виртуальной машине или даже просто смонтировать его на обычном компьютере Windows, вы можете снять флажки с разделов, которые вам не нужны в списке. Если вы планируете сделать виртуальную машину из нее, вам, вероятно, следует оставить все проверенным.
Выходной файл VHD на самом деле может быть помещен на тот же диск, с которого вы делаете копию, но мы рекомендуем использовать второй диск, если это возможно, просто чтобы все работало быстрее.
PageDefrag устарел
Эта утилита позволила вам дефрагментировать системные файлы во время загрузки, но так как она не работает в последних версиях Windows, вы должны пропустить ее.
Синхронизация записи кэшированных данных на ваш диск
Эта утилита просто синхронизирует все кэшированные данные на диск, чтобы убедиться, что все изменения файла записываются на диск и не сохраняются где-то в буфере. Конечно, вы должны использовать опцию «Безопасное удаление» каждый раз, если вы хотите быть уверены, что не потеряете данные при извлечении флэш-накопителя..
Монитор диска показывает в реальном времени активность жесткого диска
Эта утилита показывает фактическую активность жесткого диска, происходящую в режиме реального времени - секторы, чтение, запись, объем данных - все это есть. Единственная проблема заключается в том, что это не очень полезно для большинства людей.
Немного более полезным, может быть, является мониторинг диска «Tray Disk Light», который вы можете выбрать в меню «Параметры». Как только вы включите этот режим, он переместится в системный трей и будет мигать красным для записи, зеленым для чтения или оставаться серым, когда ничего не происходит.
Если бы только значок соответствовал Windows 8 немного лучше.
VolumeID изменяет серийный номер накопителя
Вы когда-нибудь замечали, что у каждого привода есть серийный номер, который выглядит как 064B-1E81 или что-то такое же неинтересное? Если вы хотите изменить этот серийный номер на что-то более забавное, вы можете сделать это с помощью утилиты VolumeID со следующим синтаксисом:
объемный XXXX-XXXX
Обратите внимание, что синтаксис требует использования шестнадцатеричных символов, поэтому вы не можете набирать GEEK-1337, как мы, потому что он просто не будет работать.
Следующий урок
Завтра мы собираемся завершить серию, рассмотрев некоторые из маленьких утилит, которые мы пропустили, а также некоторые рекомендации по использованию всех инструментов вместе, и когда вы должны вытащить каждый инструмент.