Analiziranje i upravljanje vašim datotekama, mapama i pogonima

Gotovo smo gotovi sa serijom Geek School na SysInternals alatima, a danas ćemo govoriti o svim uslužnim programima koji vam pomažu u bavljenju datotekama i mapama - bez obzira tražite li skrivene podatke ili sigurno brišete datoteku.

ŠKOLSKA NAVIGACIJA

1. Što su SysInternals alati i kako ih koristite?
2. Razumijevanje procesa Explorer
3. Korištenje Process Explorer za rješavanje problema i dijagnosticiranje
4. Razumijevanje procesa Monitor
5. Korištenje procesa Monitor za rješavanje problema i pronaći Registry Hacks
6. Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa
7. Koristeći BgInfo za prikaz informacija o sustavu na radnoj površini
8. Korištenje PsTools za kontrolu drugih računala iz naredbenog retka
9. Analiziranje i upravljanje vašim datotekama, mapama i pogonima
10. Zamatanje i korištenje alata zajedno

Postoji nekoliko uslužnih programa u alatu koji se bave svim vrstama stvari koje su povezane s datotekama ili mapama ili pronalaženjem podataka za koje niste znali da je tamo, a postoji nekoliko koji su malo na blesavoj strani. U svakom slučaju, pokrivat ćemo ih sve.

Najvažniji alati u vezi s datotekama u paketu za upoznavanje su vjerojatno Sigcheck i Streams programi, ali bilo bi mudro čitati ih pažljivo.

Struje pronalazi i prikazuje skrivene NTFS tokove

Većina ljudi ne zna za ovu značajku, ali Windows će vam omogućiti pohranu podataka unutar skrivenog odjeljka u datotečnom sustavu koji se naziva alternativni tok podataka. To u osnovi funkcionira dodavanjem dvotočke i jedinstvenog ključa na kraj naziva datoteke u interakciji s njim.

Na primjer, ako ste htjeli sakriti neke podatke u datoteci, mogli biste napraviti nešto slično echo Tajna> filename.txt: hiddenstuff čak i ako ste otvorili tu tekstualnu datoteku u Notepadu, ne biste vidjeli tekst "Tajna" koji ste dodali, i ne bi bilo drugog načina da znate da je on tu. Zapravo, pomoću ove tehnike možete učiniti gotovo sve što želite. (Obavezno pročitajte naš članak o toj temi radi potpunog objašnjenja).

To je također tehnika koja omogućuje Windows-u da magično zna da su datoteke preuzete s interneta skrivanjem podataka unutar polja Zone.Identifier. Zapravo, taj alternativni tok podataka možete izbrisati pomoću uslužnog programa Streams.

Sintaksa je jednostavna - da biste vidjeli tokove, na upit upišite sljedeće:

potoci

Također možete koristiti "streams * .exe" ili nešto slično da biste vidjeli sve datoteke sa skrivenim stream podacima, ako ih ima. Najbrži način da vidite nešto je da krenete u vaš direktorij za preuzimanje i pokrenete ga tamo.

Da biste izbrisali jedan od tokova ili mnogo njih, možete koristiti opciju -d:

streams-d

Također možete koristiti opciju -s da biste rekurzivno prešli u poddirektorije.

SigCheck analizira datoteke koje nisu digitalno potpisane (kao što je zlonamjerni softver)

Ovaj vrlo koristan program analizira digitalne potpise datoteka na vašem sustavu i govori je li valjani ili nedostaje certifikat. Možete ga koristiti i za provjeru datoteka u VirusTotal iz naredbenog retka, što je zgodno, jer to je prava točka ovog alata, pronaći zlonamjerni softver.

Normalna i najkorisnija sintaksa je dodati -u prekidač, koji prijavljuje samo probleme, i -e prekidač koji provjerava samo izvršne datoteke. Na taj način možete pokrenuti nešto poput ovoga da provjerite vaš system32 direktorij i provjerite jesu li sve datoteke tamo digitalno potpisane. Sve drugo treba pažljivo ispitati.

sigcheck -e -u C: Windows System32

Također možete koristiti opciju -v za dodatnu provjeru protiv VirusTotal, ali ćete morati koristiti opciju -vt prvi put da prihvatite njihove uvjete i odredbe.

sigcheck -v -vt

SDelete sigurno briše datoteke

Ako ste paranoidni tip, bit će vam drago znati da možete sigurno brisati datoteke iz naredbenog retka kad god želite. Samo upotrijebite uslužni program sdelete za otkopčavanje datoteke s protokolima brisanja koji su u skladu s DoD-om. (Naravno NSA vjerojatno još uvijek ima kopiju vaše datoteke). Sintaksa je jednostavna:

sdelete

Alternativno možete očistiti slobodni prostor na pogonu pomoću značajke sdelete -c opciju, koja će trajati dulje, ali je dobra opcija ako ste zaboravili koristiti sdelete za uklanjanje datoteke na prvom mjestu.

Contig defragments jedan ili više pojedinačnih datoteka

Ako želite defragmentirati samo jednu datoteku ili popis datoteka, možete koristiti uslužni program Contig. Naravno, ne morate defragmentirati datoteke u suvremenim verzijama sustava Windows koje to rade automatski. I da, ako koristite solid state disk nikada ne biste trebali defragmentirati niti trebate. Ali ako apsolutno, pozitivno, morate defragmentirati jednu datoteku, to je uslužni program. Sintaksa je jednostavna:

graničnik

Ako želite analizirati fragmentaciju datoteke bez da činite ništa, možete koristiti prekidač -a kao što je prikazano u nastavku:

Važno je napomenuti da čak i ako je datoteka fragmentirana, ako je datoteka vrlo velika i samo je razbijena na nekoliko velikih dijelova, bitno ćete dobiti ništa od defragmentiranja i izgubit ćete više vremena nego što biste to učinili.

du Prikazuje korištenje diska

Uvijek možete samo desnom tipkom miša kliknuti na bilo koju datoteku ili mapu u Windows Exploreru i odabrati Svojstva, ili koristiti tipkovnički prečac ALT + ENTER da biste vidjeli veličinu datoteke ili mape. Ali što ako želite vidjeti te podatke iz naredbenog retka? To je mjesto gdje se pojavljuje us korisnost, a to je također malo točniji jer ne broji simboličke povezane datoteke, a isto tako provjerava i alternativne tokove podataka..

Opcija -n provjerava samo jednu mapu, bez ponavljanja u poddirektorije, dok -v opcija se recurse i također pokazuje svaki direktorij kao što prolazi kroz popis, a -l (n) opcija provjerava samo "n" razine duboko. Kao u, -l 2 će provjeriti 2 razine duboko.

PendMoves Prikazuje datoteke koje se kreću na sljedećem ponovnom pokretanju

Jeste li se ikada zapitali zašto instaliranje programa čini da ponovno pokrenete računalo? Odgovor je obično da žele premjestiti neke datoteke koje se ne mogu pomicati dok je sustav Windows pokrenut, pa koriste ugrađenu značajku sustava Windows koja upravlja pomicanjem ili brisanjem datoteka pri ponovnom pokretanju.

Jedino što trebate učiniti je pokrenuti naredbu i ona će ispisati podatke. Zašto je kopija Process Explorer zakazana za premještanje u mapu Windows pri sljedećem ponovnom pokretanju? Nastavi čitati.

MoveFiles Pomiče datoteke sustava kada ponovno pokrenete sustav

Ovaj uslužni program koristi ugrađenu značajku sustava Windows za zakazivanje premještanja, brisanja ili preimenovanja datoteke ili direktorija tako da se to dogodi tijekom sljedećeg ciklusa ponovnog pokretanja sustava, prije nego što se sustav Windows u potpunosti učita. Sintaksa je stvarno jednostavna:

movefile

Ako želite izbrisati datoteku, možete upotrijebiti prazno odredište pomoću navodnika, na primjer movefile “”. Kao što možete vidjeti na slici ispod, koristili smo naredbu Movefile za zakazivanje preseljenja u Windows direktorij kako bi se prikazalo kako sve to radi..

Junction Stvara simboličke veze

Windows podržava simboličke veze za datoteke i mape, tako da možete imati više od jedne putanje do iste datoteke kako biste uštedjeli prostor umjesto da imate više kopija datoteke. Ideja je slična prečicama, osim što je na razini datotečnog sustava i ugrađena u NTFS.

Uslužni program Junction omogućuje vam jednostavno stvaranje i brisanje tih veza. Možete ih izbrisati i pomoću spoj -d .

čvor

Stvarnost je, međutim, to što je Windows od Viste imao mogućnost stvaranja simboličkih veza s naredbom mklink, a vi je možete koristiti i umjesto toga..

FindLinks pronalazi tvrde veze na datoteke

Ovaj mali alat pronalazi sve tvrde veze koje upućuju na datoteku. Tvrdi linkovi se razlikuju od simboličkih veza u tome što brisanje jednog tvrdog linka zapravo ne briše datoteku ako postoje teže veze na tu datoteku, samo se čini da je briše sve dok ne izbrišete sve tvrde veze. Nakon brisanja konačne čvrste veze, datoteka će biti izbrisana.

Bilješka: ovo bi zapravo mogao biti zanimljiv način kako bi se osiguralo da određenu datoteku ne obriše netko tko ima naviku brisanja datoteka. Samo napravite tvrdu vezu sa svim datotekama koje ne želite izgubiti.

U svakom slučaju, ovu naredbu možete koristiti dovoljno jednostavno:

findlinks

Jedini problem je da Windows 7 i 8 imaju ugrađenu naredbu koja radi istu stvar. Umjesto toga upotrijebite ovaj:

fsutil hardlink popis

Bilješka: Uvijek je bolje naučiti koristiti ugrađene stvari kad god je to moguće, jer nikad ne znate kada ćete morati nešto učiniti na tuđem računalu kada nemate svoj alat.

DiskView Prikazuje strukturu diska

Ovaj uslužni program omogućuje vam da detaljno vidite strukturu tvrdog diska, a možete čak i zumirati do kraja i odabrati datoteku koju želite označiti na popisu, tako da možete vidjeti gdje se određena datoteka nalazi na pogonu, a također vidjeti je li fragmentiran ili ne. To nije strašno korisno za većinu ljudi, ali nadamo se da imate scenarij u kojem ga trebate koristiti.

Disk2vhd Pretvara računala u virtualne tvrde diskove

Ovaj uslužni program stvara klon tvrdog diska vašeg računala dok je pokrenut, i sve to skuplja u datoteku virtualnog tvrdog diska koja se može koristiti u virtualnom stroju. I to radi dok računalo radi.

To je točno, možete stvoriti virtualni stroj tvrdog diska dok je računalo pokrenuto. To bi također moglo biti od velike pomoći za scenarije u kojima želite napraviti forenzičku analizu stroja, ali na vlastitom računalu - možete samo stvoriti klon, a zatim ga pokrenuti kao virtualni stroj umjesto toga.

Opcija za Vhdx govori Disk2vhd da koristi noviji VHDX format datoteke umjesto VHD formatu, koji je imao određena ograničenja. Po defaultu, Disk2vhd će stvoriti zasebne datoteke za svaki fizički pogon, ali će particije staviti u istu datoteku. Ako jednostavno planirate priložiti ovu VHD datoteku na drugi virtualni stroj, ili ga samo montirati na redovito Windows računalo, možete isključiti particije koje na popisu ne trebate. Ako planirate napraviti virtualni stroj iz njega, vjerojatno biste trebali ostaviti sve provjereno.

VHD izlazna datoteka zapravo može biti postavljena na isti disk s kojim stvarate kopiju, ali preporučujemo da koristite drugi pogon ako je moguće samo da bi sve bilo brže.

PageDefrag je zastario

Ovaj program vam je omogućio defragmentaciju sistemskih datoteka tijekom dizanja, ali budući da ne radi na novijim verzijama sustava Windows, trebali biste ga preskočiti.

Sinkronizacija piše predmemorirane podatke na vaš disk

Ovaj uslužni program jednostavno sinkronizira sve predmemorirane podatke na disk kako bi se osiguralo da se sve promjene datoteka zapisuju na pogon i da se ne pohranjuju u nekom međuspremniku. Naravno, svakako trebate koristiti opciju Sigurno uklanjanje ako želite biti sigurni da nećete izgubiti podatke kada vučete flash pogon.

Disk Monitor vam pokazuje aktivnost tvrdog diska u stvarnom vremenu

Ovaj program pokazuje stvarnu aktivnost hard diska koja se događa u stvarnom vremenu - sektori, čita, piše, dužina podataka, sve je tu. Jedini problem je u tome što za većinu ljudi to nije strašno korisno.

Ono što je malo korisnije, možda je nadzor diska "Tray Disk Light" koji možete odabrati iz izbornika Options. Kada omogućite taj način, premjestit će se u paletu sustava i treptati crveno za pisanje, zeleno za čitanje ili ostati sivo kada se ništa ne događa..

Ako samo ikona odgovara Windows 8 malo bolje.

VolumeID Promjena serijskog broja pogona

Jeste li ikada primijetili kako svaki pogon ima serijski broj koji izgleda kao 064B-1E81 ili nešto jednako nezanimljivo? Ako želite promijeniti taj serijski broj u nešto zabavnije, to možete učiniti pomoću uslužnog programa VolumeID s ovom sintaksom:

volumeid XXXX-XXXX

Napominjemo da sintaksa zahtijeva heksadecimalne znakove, tako da ne možete tipkati u GEEK-1337 kao što smo to učinili, jer jednostavno neće raditi.

Sljedeća lekcija

Sutra ćemo završiti seriju s pogledom na neke od malih uslužnih programa koje smo propustili, kao i neke smjernice o korištenju svih alata zajedno, i kada biste trebali izvući svaki alat.