Už sme takmer hotoví s našou sériou Geek School na nástrojoch SysInternals a dnes budeme hovoriť o všetkých nástrojoch, ktoré vám pomôžu riešiť súbory a priečinky - či už hľadáte skryté dáta, alebo bezpečne vymažete súbor.
ŠKOLSKÁ NAVIGÁCIA
Aké sú nástroje SysInternals a ako ich používate?
Pochopenie Process Explorer
Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovať
Porozumenie procesu sledovania
Používanie monitora procesov na riešenie problémov a hackerov v registri
Použitie autorunov na riešenie spúšťacích procesov a malware
Použitie programu BgInfo na zobrazenie informácií o systéme na pracovnej ploche
Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
Analýza a správa súborov, priečinkov a diskov
Zbaliť a používať nástroje spoločne
Existuje pomerne málo nástrojov v príručke, ktoré sa zaoberajú všetkými druhmi vecí, ktoré súvisia so súbormi alebo adresármi, alebo nájdením údajov, ktoré ste nevedeli, že tam boli, a existuje niekoľko, ktoré sú trochu na hlúpu stranu. V každom prípade budeme ich všetky pokrývať.
Najdôležitejšie nástroje súvisiace so súbormi v súprave, ktoré sa majú zoznámiť, sú pravdepodobne nástroje spoločnosti Sigcheck a Streams, ale bolo by rozumné prečítať si ich starostlivo.
Streamy nájde a zobrazí skryté toky NTFS
Väčšina ľudí o tejto funkcii nevie, ale systém Windows vám umožní uložiť údaje do skrytého priečinka v súborovom systéme nazvanom alternatívne toky údajov. To v podstate funguje tak, že pri interakcii s ním pripojíte dvojbodku a jedinečný kľúč na koniec názvu súboru.
Ak napríklad chcete skryť niektoré údaje v súbore, môžete urobiť niečo podobnéecho Secret> filename.txt: hiddenstuffa aj keby ste otvorili tento textový súbor v programe Poznámkový blok, nevideli by ste "tajný" text, ktorý ste pridali, a nebol by iný spôsob, ako vedieť, že to bol dokonca aj tam. V skutočnosti môžete pomocou tejto techniky urobiť takmer všetko, čo chcete. (Prečítajte si náš článok o danej téme, kde nájdete úplné vysvetlenie).
To je tiež technika, ktorá umožňuje systému Windows čarovne vedieť, že súbory boli stiahnuté z internetu skrytím údajov v poli Zone.Identifier. V skutočnosti môžete tento alternatívny tok údajov odstrániť pomocou pomôcky Streams.
Syntax je jednoduchý - ak chcete vidieť toky, na výzvu zadajte nasledujúce:
streams
Môžete tiež použiť "streams *.exe" alebo niečo také, aby ste videli všetky súbory so skrytými tokmi dát, ak existujú. Najrýchlejší spôsob, ako vidieť niečo, je dostať sa do adresára na sťahovanie a spustiť ho tam.
Ak chcete odstrániť niektorý z prúdov alebo mnohé z nich, môžete použiť voľbu -d:
streams -d
Môžete tiež použiť voľbu -s, aby ste sa dostali do podadresárov rekurzívne.
SigCheck analyzuje súbory, ktoré nie sú digitálne podpísané (ako škodlivý softvér)
Tento veľmi užitočný nástroj analyzuje digitálne podpisy súborov vo vašom systéme a informuje o tom, či sú platné alebo chýbajú certifikát. Môžete tiež použiť na kontrolu súborov proti VirusTotal z príkazového riadku, čo je výhodné, pretože to je skutočný bod tohto nástroja, je nájsť škodlivý softvér.
Normálnou a najužitočnejšou syntaxou je pridať prepínač -u, ktorý hlási iba problémy, a prepínač -e, ktorý kontroluje iba spustiteľné súbory. Takže by ste mohli spustiť niečo také, aby ste skontrolovali adresár system32 a uistite sa, že všetky súbory sú digitálne podpísané. Všetko ostatné by sa malo dôkladne preskúmať.
sigcheck -e -u C:WindowsSystem32
Môžete tiež použiť možnosť -v pre ďalšiu kontrolu proti VirusTotal, ale budete musieť po prvýkrát použiť možnosť -vt akceptovať ich zmluvné podmienky.
sigcheck -v -vt
Image
SDelete bezpečne vymaže súbory
Ak ste paranoidný typ, radi by ste vedeli, že môžete bezpečne vymazať súbory z príkazového riadku kedykoľvek budete chcieť. Jednoducho použite nástroj na vymazanie súboru s protokolmi vymazania kompatibilnými s DoD. (Samozrejme, NSA pravdepodobne ešte má kópiu vášho súboru). Syntax je jednoduchý:
sdelete
Môžete alternatívne vyčistiť voľný priestor na jednotke pomocousdelete -cmožnosť, ktorá bude trvať dlhšie, ale je dobrou voľbou, ak ste zabudli použiť sdelete na odstránenie súboru na prvom mieste.
Image
Contig Defragmentuje jeden alebo viacero jednotlivých súborov
Ak chcete defragmentovať iba jeden súbor alebo zoznam súborov, môžete použiť nástroj Contig na to, aby ste to urobili. Iste, v skutočnosti nemusíte defragmentovať súbory v moderných verziách systému Windows, ktoré to robia automaticky. A áno, ak používate jednotku SSD, nemali by ste nikdy defragmentovať ani nepotrebujete. Ale ak absolútne, pozitívne, musí defragmentovať jeden súbor, to je nástroj na to. Syntax je jednoduchý:
contig
Ak chcete analyzovať fragmentáciu súboru bez toho, aby ste v skutočnosti robili nič, môžete použiť prepínač -a, ako je uvedené nižšie:
Stojí za to poznamenať, že aj keď je súbor roztrieštené, ak je súbor veľmi veľký a je rozdelený len do niekoľkých veľkých kusoch, získate v podstate nič z defragmentácia a bude mať plytvanie viac času trápi s ním, než by ste ušetriť.
du Ukazuje použitie disku
V programe Windows Explorer môžete jednoducho kliknúť pravým tlačidlom na ľubovoľný súbor alebo priečinok a vybrať Vlastnosti alebo pomocou klávesovej skratky ALT + ENTER zobraziť veľkosť súboru alebo priečinka.Ale čo, ak chcete zobraziť údaje z príkazového riadka? To je miesto, kde nástroj du príde, a to je tiež o niečo presnejšie, pretože sa nepočíta symbolicky prepojené súbory, a je to skontroluje alternatívne toky dát rovnako.
Voľba -n skontroluje iba jeden priečinok bez toho, aby sa vrátil do podadresárov, zatiaľ čo voľba -v sa znovu objaví a tiež zobrazuje každý adresár pri prechode cez zoznam a voľba -l (n) kontroluje len hlboké úrovne "n". Rovnako ako, -l 2 by skontroloval 2 úrovne hlboké.
PendMoves zobrazuje súbory presunuté na nasledujúci reštart
Premýšľali ste niekedy, prečo inštalácie aplikácií vás reštartujú počítač? Odpoveď zvyčajne spočíva v tom, že chcú presunúť niektoré súbory, ktoré sa nedajú presunúť počas spustenia systému Windows, a preto používajú vstavanú funkciu systému Windows, ktorá sa zaoberá presunom alebo odstránením súborov po reštarte.
Jediná vec, ktorú musíte urobiť, je spustenie príkazu a vygenerovanie údajov. Prečo sa naplánuje presunúť kópiu programu Process Explorer do nasledujúceho reštartu do priečinka Windows? Pokračuj v čítaní.
Image
MoveFiles presunie systémové súbory pri reštartovaní
Tento nástroj používa vstavanú funkciu systému Windows na naplánovanie presunu, odstránenia alebo premenovania súboru alebo adresára tak, aby sa to stalo počas nasledujúceho reštartovacieho cyklu predtým, než bude systém Windows úplne nabitý. Syntax je naozaj jednoduchý:
movefile
Ak chcete odstrániť súbor, môžete použiť prázdne miesto pomocou úvodzoviek, napríkladmovefile “”. Ako môžete vidieť na obrazovke nižšie, použili sme príkaz Movefile, aby sme naplánovali kopírovanie prehliadača procesov, ktoré sa má presunúť do adresára systému Windows, aby sme ilustrovali, ako to všetko funguje.
Image
Spojenie vytvára symbolické prepojenia
Systém Windows podporuje symbolické prepojenia pre súbory a priečinky, takže môžete mať viac ako jeden bod cesty k rovnakému súboru, aby ste ušetrili miesto namiesto toho, aby mali viac kópií súboru. Myšlienka je podobná skratkám, okrem toho, že je na úrovni súborového systému a je zabudovaná do NTFS.
Nástroj Junction umožňuje ľahko vytvárať a odstraňovať tieto odkazy. Môžete ich tiež odstrániť pomocoukrižovatka -d .
junction
Pravdou však je, že systém Windows od Windows má schopnosť vytvárať symbolické odkazy pomocou príkazu mklink a môžete ho použiť rovnako.
FindLinks nájde ťažké odkazy na súbory
Tento malý nástroj nájde všetky tvrdé odkazy smerujúce k súboru. Tvrdé odkazy sa líšia od symbolických odkazov v tom smere, že odstránenie jedného pevného odkazu v skutočnosti odstrániť súbor, ak existuje viac pevných odkazov na tento súbor, zdá sa, že ho odstrániť, kým ste odstránili všetky tvrdé odkazy. Po odstránení posledného pevného odkazu sa súbor odstráni.
Poznámka: to by mohlo byť skutočne zaujímavým spôsobom, ako sa uistiť, že konkrétny súbor nie je skutočne odstránený niekým, ktorý má zvyk na vymazanie súborov. Stačí vytvoriť pevný odkaz na všetky súbory, ktoré nechcete strácať.
V každom prípade môžete tento príkaz použiť dostatočne ľahko:
findlinks
Jediným problémom je, že Windows 7 a 8 majú vstavaný príkaz, ktorý robí to isté. Použite toto miesto:
fsutil hardlink list
Poznámka:Vždy je lepšie naučiť sa používať vstavaný materiál, ak je to možné, pretože nikdy neviete, kedy budete musieť niečo urobiť v počítači niekoho iného, keď nemáte svoje súbory nástrojov.
DiskView zobrazuje štruktúru disku
Tento nástroj vám umožňuje detailne zobraziť štruktúru pevného disku a môžete dokonca priblížiť celú cestu a vybrať súbor, ktorý chcete zvýrazniť v zozname, takže môžete vidieť, kde je konkrétny súbor na jednotke, a tiež či je fragmentovaný alebo nie. Nie je to strašne užitočné pre väčšinu ľudí, ale dúfajme, že máte scenár, v ktorom by ste ho mohli potrebovať.
Image
Disk2vhd premení počítače na virtuálne pevné disky
Tento nástroj vytvára klon pevného disku vášho počítača, kým je spustený, a zväzky to všetko do súboru virtuálneho pevného disku, ktorý je možné použiť vo virtuálnom počítači. A to robí pri bežiacom počítači.
To je pravda, môžete vytvoriť virtuálny počítač vášho pevného disku počas behu počítača. Toto by mohlo byť tiež veľmi užitočné pre scenáre, kde chcete vykonať nejakú forenznú analýzu stroja, ale na svojom počítači - stačí vytvoriť klon a potom ho zaviesť ako virtuálny počítač.
Možnosť pre Vhdx hovorí programu Disk2vhd, aby použil novší formát súboru VHDX namiesto formátu súboru VHD, ktorý mal niekoľko obmedzení. V predvolenom nastavení vytvorí program Disk2vhd samostatné súbory pre každú fyzickú jednotku, ale do rovnakého súboru umiestni oddiely. Ak jednoducho plánujete pripojiť tento súbor VHD na iný virtuálny počítač alebo ho jednoducho pripojiť k bežnému počítaču so systémom Windows, môžete zrušiť začiarknutie oddielov, ktoré v zozname nepotrebujete. Ak máte v úmysle z nej vyradiť virtuálny stroj, pravdepodobne by ste mali všetko skontrolovať.
Výstupný súbor VHD môže byť skutočne umiestnený na rovnakú jednotku, ako kopírovanie, ale odporúčame použiť druhú jednotku, ak je to možné, len aby sme všetko rýchlejšie.
Stránka PageDefrag je zastaraná
Tento nástroj vám umožnil defragmentovať systémové súbory počas spúšťania, ale pretože nefunguje v najnovších verziách systému Windows, mali by ste ho preskočiť.
Synchronizácia zapisuje údaje uložené vo vyrovnávacej pamäti na disk
Tento nástroj jednoducho synchronizuje všetky dáta uložené vo vyrovnávacej pamäti na disk, aby sa uistili, že všetky zmeny súborov sú zapísané na jednotku a nie sú uložené v nejakej vyrovnávacej pamäti niekde. Samozrejme, mali by ste používať funkciu Bezpečne odobrať zakaždým, ak chcete mať istotu, že nestratíte údaje pri ťahaní jednotky Flash.
Image
Disk Monitor zobrazuje aktivitu pevného disku v reálnom čase
Tento nástroj zobrazuje skutočnú aktivitu pevného disku v reálnom čase - odvetvia, číta, píše, dĺžku dát, je to všetko.Jediným problémom je, že pre väčšinu ľudí to nie je strašne užitočné.
Čo je trochu užitočnejšie, možno je monitorovanie disku "Tray Disk Light", ktoré si môžete vybrať z ponuky Možnosti. Po zapnutí tohto režimu sa presunie do systémovej lišty a bliká červená pre zápis, zelená pre čítanie alebo zostane šedá, keď sa nič nedeje.Ak sa len o ikonu zhoduje Windows 8 trochu lepšie.
VolumeID mení sériové číslo jednotky
Všimli ste si niekedy, ako každý disk má sériové číslo, ktoré vyzerá ako 064B-1E81 alebo niečo rovnako nezaujímavé? Ak chcete toto sériové číslo zmeniť na niečo zábavnejšie, môžete to urobiť pomocou nástroja VolumeID s touto syntaxou:
volumeid XXXX-XXXX
Všimnite si, že syntax vyžaduje použitie šestnástkových znakov, takže nemôžete napísať GEEK-1337 ako my, pretože to jednoducho nebude fungovať.
Image
Ďalšia lekcia
Zajtra sa chystáme zabaliť sériu s pohľadom na niektoré z málo nástrojov, ktoré sme premeškali, rovnako ako nejaké pokyny na používanie všetkých nástrojov dohromady, a keď by ste mali vytiahnuť každý nástroj.
Považujem to za veľmi nepríjemné, keď idem domov z práce a pripojiť môj laptop na môj externý pevný disk … Okno autoplay sa vždy objaví a pýta sa ma, čo chcem so súbormi urobiť, čo môže byť po prvýkrát poriadne, ale rozhodne nie je po roku.
Systém Windows 10 teraz ponúka voliteľný súborový systém citlivý na veľké a malé písmená, rovnako ako Linux a iné operačné systémy UNIX. Všetky procesy systému Windows spracujú správne súbory a priečinky citlivé na veľké a malé písmená, ak povolíte túto funkciu. Inými slovami, uvidia "súbor" a "Súbor" ako dva samostatné súbory.
Okamžitý nástroj na otváranie súborov vám pomôže vytvoriť zoznam so súbormi, priečinkami, aplikáciami a adresami URL, ktoré chcete otvoriť pri každom spustení relácie systému Windows.
Organizátor súborov PSA pre systém Windows vám pomôže presunúť rôzne typy súborov alebo formáty do rôznych priečinkov alebo adresárov na základe rozšírení súborov.
Ak z nejakého dôvodu nemôžete z počítača odstrániť súbor alebo priečinok, vyskúšajte tento bezplatný softvér na odstraňovanie súborov na odstránenie uzamknutých súborov a priečinkov na počítači so systémom Windows.
