Analýza a správa súborov, priečinkov a diskov
Už sme takmer hotoví s našou sériou Geek School na nástrojoch SysInternals a dnes budeme hovoriť o všetkých nástrojoch, ktoré vám pomôžu riešiť súbory a priečinky - či už hľadáte skryté dáta alebo bezpečne vymazávate súbor.
ŠKOLSKÁ NAVIGÁCIA- Aké sú nástroje SysInternals a ako ich používate??
- Pochopenie Process Explorer
- Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie
- Porozumenie procesu sledovania
- Používanie monitora procesov na riešenie problémov a vyhľadanie hackov v registri
- Použitie autorunov na riešenie spúšťacích procesov a malware
- Použitie programu BgInfo na zobrazenie informácií o systéme na ploche
- Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
- Analýza a správa súborov, priečinkov a diskov
- Zalomenie a spoločné používanie nástrojov
Existuje pomerne málo nástrojov v súpravách, ktoré sa zaoberajú všetkými druhmi vecí, ktoré súvisia so súbormi alebo adresármi, alebo nájdením údajov, ktoré ste nevedeli, že tam boli, a existuje niekoľko, ktoré sú trochu na hlúpu stranu. Či tak alebo onak budeme pokrývať všetkých.
Najdôležitejšie nástroje týkajúce sa súborov v súprave, ktoré sa majú zoznámiť, sú pravdepodobne nástroje spoločnosti Sigcheck a Streams, ale bolo by rozumné prečítať si ich starostlivo.
Streams nájde a zobrazí skryté toky NTFS
Väčšina ľudí o tejto funkcii nevie, ale systém Windows vám umožní uložiť dáta do skrytého priečinka v súborovom systéme nazvanom alternatívne toky údajov. To v podstate funguje tak, že pri interakcii s ním pripojíte dvojbodku a jedinečný kľúč na koniec názvu súboru.
Ak napríklad chcete skryť niektoré údaje v súbore, môžete urobiť niečo podobné echo Secret> filename.txt: hiddenstuff a dokonca aj keď ste otvorili tento textový súbor v programe Poznámkový blok, nevidíte text "tajný", ktorý ste pridali, a nebol by iný spôsob, ako vedieť, že to bol dokonca aj tam. V skutočnosti môžete pomocou tejto techniky urobiť takmer všetko, čo chcete. (Prečítajte si náš článok o danej téme, kde nájdete úplné vysvetlenie).
To je tiež technika, ktorá umožňuje systému Windows čarovne vedieť, že súbory boli stiahnuté z internetu skrytím údajov v poli Zone.Identifier. V skutočnosti môžete tento alternatívny tok údajov odstrániť pomocou pomôcky Streams.
Syntax je jednoduchý - ak chcete vidieť toky, na výzvu zadajte nasledujúce:
prúdy
Môžete tiež použiť "streams * .exe" alebo niečo také, aby ste videli všetky súbory so skrytými dátami streamingu, ak existujú. Najrýchlejší spôsob, ako vidieť niečo, je viesť do adresára na sťahovanie a spustiť ho tam.
Ak chcete odstrániť niektorý z prúdov alebo mnohé z nich, môžete použiť voľbu -d:
prúdy -d
Môžete tiež použiť voľbu -s, aby ste sa dostali do podadresárov rekurzívne.
SigCheck analyzuje súbory, ktoré nie sú digitálne podpísané (ako malware)
Tento veľmi užitočný nástroj analyzuje digitálne podpisy súborov vo vašom systéme a informuje o tom, či sú platné alebo chýbajú certifikát. Môžete tiež použiť na kontrolu súborov proti VirusTotal z príkazového riadku, čo je výhodné, pretože to je skutočný bod tohto nástroja, je nájsť škodlivý softvér.
Normálnou a najužitočnejšou syntaxou je pridať prepínač -u, ktorý hlási iba problémy, a prepínač -e, ktorý kontroluje iba spustiteľné súbory. Takže by ste mohli spustiť niečo také, aby ste skontrolovali adresár system32 a uistite sa, že všetky súbory sú digitálne podpísané. Všetko ostatné by malo byť veľmi dôkladne preskúmané.
sigcheck -e-u C: \ Windows \ System32
Môžete tiež použiť voľbu -v pre ďalšiu kontrolu proti VirusTotal, ale budete musieť po prvýkrát použiť možnosť -vt akceptovať ich zmluvné podmienky.
sigcheck -v -vt
SDelete bezpečne vymaže súbory
Ak ste paranoidný typ, radi by ste vedeli, že môžete bezpečne vymazať súbory z príkazového riadku kedykoľvek budete chcieť. Jednoducho použite nástroj na vymazanie súboru s protokolmi vymazania kompatibilnými s DoD. (Samozrejme, NSA pravdepodobne ešte má kópiu vášho súboru). Syntax je jednoduchý:
povedzte
Môžete alternatívne vyčistiť voľný priestor na jednotke pomocou sdelete -c možnosť, ktorá bude trvať dlhšie, ale je dobrou voľbou, ak ste zabudli použiť sdelete na odstránenie súboru na prvom mieste.
Contig Defragmentuje jeden alebo viacero jednotlivých súborov
Ak chcete defragmentovať len jeden súbor alebo zoznam súborov, môžete použiť nástroj Contig na to, aby ste to urobili. Iste, v skutočnosti nemusíte defragmentovať súbory v moderných verziách systému Windows, ktoré sa robia automaticky. A áno, ak používate jednotku SSD, nemali by ste nikdy defragmentovať ani nepotrebujete. Ale ak absolútne, pozitívne, musí defragmentovať jeden súbor, to je nástroj, ako to urobiť. Syntax je jednoduchý:
Contigo
Ak chcete analyzovať fragmentáciu súboru bez toho, aby ste v skutočnosti robili nič, môžete použiť prepínač -a, ako je uvedené nižšie:
Stojí za zmienku, že aj keď je súbor fragmentovaný, ak je súbor veľmi veľký a rozdeľuje sa iba na niekoľko veľkých kusov, získate v podstate nič z defragmentácie a stratíte viac času trápením, než by ste ušetrili.
du Ukazuje použitie disku
V programe Windows Explorer môžete jednoducho kliknúť pravým tlačidlom myši na ľubovoľný súbor alebo priečinok a vybrať Vlastnosti alebo pomocou klávesovej skratky ALT + ENTER zobraziť veľkosť súboru alebo priečinka. Ale čo, ak chcete zobraziť údaje z príkazového riadka? Tam príde utilita du a je tiež o niečo presnejšia, pretože neberie do úvahy symbolické prepojené súbory a tiež kontroluje alternatívne dátové toky.
Voľba -n skontroluje iba jediný priečinok bez toho, aby sa vrátil do podadresárov, zatiaľ čo voľba -v sa znovu objaví a tiež zobrazuje každý adresár pri prechode cez zoznam a voľba -l (n) kontroluje len hlboké úrovne "n". Rovnako ako, -l 2 by skontroloval 2 úrovne hlboko.
PendMoves zobrazuje súbory s nasledujúcim reštartovaním
Premýšľali ste niekedy, prečo inštalácie aplikácií vás reštartujú počítač? Odpoveď zvyčajne spočíva v tom, že chcú presunúť niektoré súbory, ktoré sa počas prevádzkovania systému Windows nemôžu presúvať, a preto používajú zabudovanú funkciu systému Windows, ktorá sa zaoberá presunom alebo odstránením súborov pri reštarte.
Jediná vec, ktorú musíte urobiť, je spustenie príkazu a vygenerovanie údajov. Prečo sa naplánuje presunúť kópiu programu Process Explorer do nasledujúceho reštartu do priečinka Windows? Pokračuj v čítaní.
MoveFiles presunie systémové súbory pri reštartovaní
Tento nástroj využíva funkciu vstavaného systému Windows na naplánovanie presunu, odstránenia alebo premenovania súboru alebo adresára tak, aby sa to stalo počas nasledujúceho reštartovacieho cyklu pred tým, ako bude systém Windows naplnený. Syntax je naozaj jednoduchý:
movefile
Ak chcete odstrániť súbor, môžete použiť prázdne miesto pomocou úvodzoviek, napríklad movefile "". Ako môžete vidieť na obrazovke nižšie, použili sme príkaz Movefile, aby sme naplánovali kopírovanie prehliadača procesov, ktoré sa má presunúť do adresára systému Windows, aby sme ilustrovali, ako to všetko funguje.
Spojenie vytvára symbolické prepojenia
Systém Windows podporuje symbolické odkazy pre súbory a priečinky, takže môžete mať viac ako jeden bod cesty k rovnakému súboru, aby ste ušetrili miesto namiesto toho, aby mali viac kópií súboru. Myšlienka je podobná skratkám, okrem toho, že je na úrovni súborového systému a je zabudovaná do systému NTFS.
Pomôcka Junction vám umožňuje ľahko vytvárať a odstraňovať tieto odkazy. Môžete ich tiež odstrániť pomocou križovatka -d .
križovatka
Skutočnosťou je však to, že systém Windows od Windows Vista mal možnosť vytvoriť symbolické odkazy pomocou príkazu mklink a vy ste ho tiež mohli použiť.
FindLinks nájde ťažké odkazy na súbory
Tento malý nástroj nájde všetky tvrdé odkazy smerujúce k súboru. Tvrdé odkazy sa líšia od symbolických odkazov v tom smere, že odstránenie jedného pevného odkazu v skutočnosti neodstráni súbor, ak existuje viac pevných odkazov na tento súbor, zdá sa, že ho vymažete, kým neodstránite všetky tvrdé odkazy. Po odstránení posledného pevného odkazu sa súbor odstráni.
Poznámka: mohlo by to byť zaujímavý spôsob, ako sa uistiť, že konkrétny súbor nie je skutočne odstránený niekým, ktorý má zvyk na vymazanie súborov. Stačí vytvoriť pevný odkaz na všetky súbory, ktoré nechcete, aby stratili.
V každom prípade môžete tento príkaz použiť dostatočne ľahko:
findlinks
Jediným problémom je, že Windows 7 a 8 majú vstavaný príkaz, ktorý robí to isté. Použite toto miesto:
fsutil zoznam hardlinkov
Poznámka: Je vždy lepšie naučiť sa používať zabudované veci, ak je to možné, pretože nikdy neviete, kedy budete musieť niečo urobiť v počítači niekoho iného, keď nemáte svoje súbory nástrojov.
DiskView zobrazuje štruktúru disku
Tento nástroj vám umožňuje detailne zobraziť štruktúru pevného disku a dokonca môžete dokonca priblížiť a vybrať súbor, ktorý chcete vyzdvihnúť v zozname, takže môžete vidieť, kde je konkrétny súbor na jednotke, a tiež či je fragmentovaný alebo nie. Nie je to pre väčšinu ľudí veľmi užitočné, ale dúfajme, že máte scenár, v ktorom by ste ho mohli potrebovať.
Disk2vhd premení počítače na virtuálne pevné disky
Tento nástroj vytvára klon pevného disku vášho počítača, kým je spustený, a zväzky to všetko do súboru virtuálneho pevného disku, ktorý je možné použiť vo virtuálnom počítači. A to robí pri bežiacom počítači.
To je pravda, môžete vytvoriť virtuálny počítač vášho pevného disku počas behu počítača. To by mohlo byť aj skutočne užitočné pre scenáre, kde chcete vykonať nejakú forenznú analýzu stroja, ale na svojom počítači - stačí vytvoriť klon a potom ho zaviesť ako virtuálny stroj.
Možnosť pre Vhdx hovorí Disk2vhd, aby použil novší formát súboru VHDX namiesto formátu súboru VHD, ktorý mal niekoľko obmedzení. V predvolenom nastavení program Disk2vhd vytvorí samostatné súbory pre každú fyzickú jednotku, ale do rovnakého súboru dá oddiely. Ak jednoducho plánujete pripojiť tento súbor VHD na iný virtuálny počítač alebo ho jednoducho pripojiť k bežnému počítaču so systémom Windows, môžete zrušiť začiarknutie oddielov, ktoré nepotrebujete v zozname. Ak máte v úmysle z nej vylúčiť virtuálny stroj, pravdepodobne by ste mali nechať všetko skontrolované.
Výstupný súbor VHD môže byť skutočne umiestnený na rovnakú jednotku, ako kopírovanie, ale odporúčame použiť druhú jednotku, ak je to možné, len aby to bolo rýchlejšie.
Stránka PageDefrag je zastaraná
Tento nástroj vám umožnil defragmentovať systémové súbory počas spúšťania, ale keďže nefunguje v najnovších verziách systému Windows, mali by ste ho preskočiť.
Synchronizácia zapisuje údaje uložené do vyrovnávacej pamäte na disk
Tento nástroj jednoducho synchronizuje všetky dáta uložené vo vyrovnávacej pamäti na disk, aby sa uistili, že všetky zmeny súborov sú zapísané na jednotku a nie sú uložené v nejakej vyrovnávacej pamäti niekde. Samozrejme, mali by ste používať možnosť Bezpečné odobranie zakaždým, ak chcete mať istotu, že pri stlačení pamäťovej jednotky Flash.
Disk Monitor zobrazuje aktivitu pevného disku v reálnom čase
Tento nástroj zobrazuje skutočnú aktivitu pevného disku v reálnom čase - odvetvia, číta, píše, dĺžku údajov, je to všetko. Jediným problémom je, že pre väčšinu ľudí to nie je strašne užitočné.
Čo je trochu užitočnejšie, možno je monitorovanie disku "Tray Disk Light", ktoré si môžete vybrať z ponuky Možnosti. Po zapnutí tohto režimu sa presunie do systémovej lišty a bliká červená pre zápis, zelená pre čítanie alebo zostane šedá, keď sa nič nedeje.
Ak je lepšie len ikona, ktorá zodpovedá systému Windows 8.
VolumeID mení Sériové číslo disku
Všimli ste si, že každý disk má sériové číslo, ktoré vyzerá ako 064B-1E81 alebo niečo rovnako nezaujímavé? Ak chcete toto sériové číslo zmeniť na niečo zábavnejšie, môžete to urobiť pomocou nástroja VolumeID s touto syntaxou:
volumeid XXXX-XXXX
Všimnite si, že syntax vyžaduje použitie šestnástkových znakov, takže nemôžete napísať GEEK-1337 ako my, pretože to jednoducho nebude fungovať.
Ďalšia lekcia
Zajtra sa chystáme zabaliť sériu s pohľadom na niektoré z málo nástrojov, ktoré sme premeškali, rovnako ako nejaké návod na použitie všetkých nástrojov dohromady, a keď by ste mali vytiahnuť každý nástroj.