Menganalisa dan Mengurus Fail, Folder dan Pemacu Anda
Kami hampir selesai dengan siri Sekolah Geek kami di alat SysInternals, dan hari ini kami akan membincangkan semua utiliti yang membantu anda berurusan dengan fail dan folder - sama ada anda mencari data tersembunyi atau memadamkan fail dengan selamat.
NAVIGASI SEKOLAH- Apakah Alat SysInternals dan Bagaimana Anda Menggunakannya?
- Memahami Proses Explorer
- Menggunakan Explorer Proses untuk Menyelesaikan Masalah dan Diagnosa
- Memahami Proses Monitor
- Menggunakan Monitor Proses untuk Memecahkan Masalah dan Cari Hacks Pendaftaran
- Menggunakan Autoruns untuk Berurusan dengan Proses Permulaan dan Malware
- Menggunakan BgInfo untuk Memaparkan Maklumat Sistem pada Desktop
- Menggunakan PsTools untuk Mengawal PC Lain dari Barisan Perintah
- Menganalisa dan Mengurus Fail, Folder dan Pemacu Anda
- Bungkus dan Menggunakan Alat Bersama
Terdapat beberapa utiliti dalam toolkit yang menangani segala macam perkara yang berkaitan dengan fail atau folder atau mencari data yang anda tidak tahu ada di sana, dan ada beberapa yang sedikit di sisi bodoh. Sama ada, kami akan menutupi mereka semua.
Alat yang berkaitan dengan fail penting dalam kit untuk mengetahui mungkin adalah utiliti Sigcheck dan Stream, tetapi adalah bijak untuk membacanya dengan berhati-hati.
Laluan Menemukan dan Memaparkan Stream NTFS Tersembunyi
Kebanyakan orang tidak tahu mengenai ciri ini, tetapi Windows akan membiarkan anda menyimpan data di dalam petak tersembunyi dalam sistem fail yang dipanggil aliran data alternatif. Ini pada asasnya berfungsi dengan menambahkan titik dan kekunci unik pada akhir nama fail apabila berinteraksi dengannya.
Sebagai contoh, jika anda ingin menyembunyikan beberapa data dalam fail, anda boleh melakukan sesuatu seperti echo Secret> filename.txt: hiddenstuff dan walaupun anda membuka fail teks itu di Notepad, anda tidak akan melihat teks "Rahsia" yang anda tambahkan, dan tidak akan ada cara lain untuk mengetahui bahawa ia ada di sana. Malah, anda boleh melakukan hampir apa sahaja yang anda mahukan menggunakan teknik ini. (Pastikan untuk membaca artikel kami mengenai subjek untuk penjelasan penuh).
Ini juga merupakan teknik yang membolehkan Windows secara ajaib mengetahui bahawa fail telah dimuat turun dari internet, dengan menyembunyikan data di dalam kawasan Zon.Identifier. Sebenarnya, anda boleh memadamkan aliran data alternatif ini menggunakan utiliti Stream.
Sintaks ini mudah - untuk melihat aliran, taipkan perkara berikut dengan segera:
sungai
Anda juga boleh menggunakan "aliran * .exe" atau sesuatu seperti itu untuk melihat semua fail dengan data aliran tersembunyi, jika ada. Cara paling cepat untuk melihat sesuatu ialah pergi ke direktori muat turun anda dan jalankan di sana.
Untuk memadam salah satu daripada aliran atau banyak daripada mereka, anda boleh menggunakan pilihan -d:
aliran -d
Anda juga boleh menggunakan pilihan -s untuk pergi ke subdirektori secara rekursif.
SigCheck Menganalisis Fail Yang Tidak Ditandatangan Secara Digital (Seperti Malware)
Utiliti yang sangat berguna ini menganalisis tandatangan digital fail pada sistem anda dan memberitahu anda sama ada ia sah atau hilang sijil. Anda juga boleh menggunakannya untuk memeriksa fail terhadap VirusTotal dari baris arahan, yang mudah, kerana itu adalah titik sebenar alat ini, adalah untuk mencari malware.
Sintaks yang biasa dan paling berguna ialah menambah suis -u, yang hanya melaporkan masalah, dan suis -e, yang hanya memeriksa fail yang boleh dieksekusi. Jadi, anda boleh menjalankan sesuatu seperti ini untuk memeriksa direktori system32 anda dan pastikan semua fail di sana ditandatangani secara digital. Apa-apa lagi perlu diperiksa dengan teliti.
sigcheck -e -u C: \ Windows \ System32
Anda juga boleh menggunakan pilihan -v untuk pemeriksaan tambahan terhadap VirusTotal, tetapi anda perlu menggunakan opsi -vt untuk pertama kalinya untuk menerima syarat dan ketentuannya..
sigcheck -v -vt
SDelete Secure Deletes Files
Sekiranya anda adalah jenis paranoid, anda akan gembira mengetahui bahawa anda boleh menghapuskan fail secara selamat dari baris arahan pada bila-bila masa yang anda mahukan. Hanya gunakan utiliti sdelete untuk memukul fail dengan protokol penghapusan mematuhi DoD. (Sudah tentu NSA mungkin masih mempunyai salinan fail anda). Sintaksnya mudah:
sdelete
Anda secara alternatif boleh membersihkan ruang bebas pada pemacu dengan menggunakan sdelete -c pilihan, yang akan mengambil masa yang lebih lama, tetapi merupakan pilihan yang baik jika anda terlupa menggunakan sdelete untuk mengalih keluar fail tersebut di tempat pertama.
Contig Defragments Satu atau Banyak File Individu
Jika anda ingin membatalkan hanya satu fail tunggal, atau senarai fail, anda boleh menggunakan utiliti Contig untuk berbuat demikian. Pasti, anda tidak perlu melakukan fail defragment dalam versi Windows moden yang melakukannya secara automatik. Dan ya, jika anda menggunakan pemacu keadaan pepejal, jangan sekali-kali anda defragment dan tidak perlu. Tetapi jika anda benar-benar, secara positif, mesti defragment satu fail, ini adalah utiliti untuk melakukannya. Sintaksnya mudah:
contig
Jika anda mahu menganalisis pemecahan fail tanpa benar-benar melakukan apa-apa, anda boleh menggunakan suis -a seperti ditunjukkan di bawah:
Perlu diingat bahawa walaupun fail dipecah, jika fail itu sangat besar dan hanya dipecahkan kepada beberapa kepingan besar, anda akan memperolehi dasarnya apa-apa daripada defragmenting dan akan membazirkan lebih banyak masa mengganggu dengannya daripada yang anda simpan.
du Menunjukkan Penggunaan Cakera
Anda sentiasa boleh klik kanan mana-mana fail atau folder di Windows Explorer dan pilih Properties, atau gunakan ALT + ENTER pintasan papan kekunci untuk melihat saiz fail atau folder. Tetapi bagaimana jika anda mahu melihat data dari arahan arahan? Di sinilah utiliti du masuk, dan ia juga sedikit lebih tepat kerana ia tidak mengira fail yang dikaitkan simbolik, dan ia juga memeriksa aliran data alternatif.
Pilihan -n hanya memeriksa satu folder, tanpa mengulangi semula ke subdirektori, manakala pilihan -v mengulangi dan juga menunjukkan setiap direktori kerana ia melewati senarai, dan pilihan -l (n) memeriksa hanya tahap "n" yang mendalam. Seperti dalam, -l 2 akan memeriksa 2 tahap dalam.
PendMoves Memaparkan Fail Bergerak pada Reboot Seterusnya
Pernahkah anda tertanya-tanya mengapa memasang aplikasi membuat anda reboot komputer anda? Jawapannya biasanya adalah bahawa mereka ingin memindahkan beberapa fail yang tidak dapat dipindahkan sementara Windows berjalan, jadi mereka menggunakan ciri Windows terbina dalam yang mengendalikan pemindahan atau memadam fail pada reboot.
Satu-satunya perkara yang perlu anda lakukan ialah menjalankan arahan, dan ia akan mengeluarkan data. Kenapa salinan Process Explorer dijadualkan bergerak ke dalam folder Windows pada reboot seterusnya? Teruskan membaca.
MoveFiles Memindahkan Fail Sistem apabila Anda Reboot
Utiliti ini menggunakan ciri Windows terbina dalam untuk menjadualkan langkah, padam, atau menamakan semula fail atau direktori supaya ia akan berlaku semasa kitaran reboot seterusnya, sebelum Windows dimuatkan sepenuhnya. Sintaks ini sangat mudah:
movefile
Sekiranya anda ingin memadamkan fail, anda boleh menggunakan destinasi kosong dengan menggunakan sebut harga, seperti movefile "". Seperti yang anda lihat dalam tangkapan skrin di bawah, kami menggunakan arahan Movefile untuk menjadualkan salinan explorer proses untuk dipindahkan ke direktori Windows untuk menggambarkan bagaimana ia berfungsi.
Junction Mencipta Pautan Simbolik
Windows menyokong pautan simbol untuk fail dan folder, supaya anda boleh mempunyai lebih daripada satu titik laluan ke fail yang sama untuk menjimatkan ruang dan bukan mempunyai beberapa salinan fail. Idea ini sama dengan pintasan, kecuali ini adalah pada tahap sistem fail dan dibina ke NTFS.
Utiliti Junction membolehkan anda membuat dan memadam pautan ini dengan mudah. Anda juga boleh memadamnya menggunakan junction -d .
persimpangan
Walau bagaimanapun, hakikatnya ialah Windows sejak Vista mempunyai keupayaan untuk membuat symlinks dengan arahan mklink, dan anda juga boleh menggunakannya sebagai ganti.
FindLinks Cari Pautan Keras ke Fail
Utiliti kecil ini mendapati semua pautan keras menunjuk ke fail. Pautan keras berbeza dari pautan simbolik dalam penghapusan satu pautan keras tidak benar-benar memadamkan fail itu jika terdapat pautan yang lebih keras pada fail itu, ia hanya muncul untuk memadamkannya sehingga anda memadamkan semua pautan keras. Sebaik sahaja anda memadam pautan keras akhir, fail itu akan dipadamkan.
Catatan: ini sebenarnya boleh menjadi cara yang menarik untuk memastikan bahawa fail tertentu tidak benar-benar dipadamkan oleh seseorang yang mempunyai kebiasaan menghapuskan fail. Cukup buat pautan keras kepada semua fail yang anda tidak mahu kehilangannya.
Dalam sebarang kes, anda boleh menggunakan arahan ini dengan mudah:
findlinks
Satu-satunya masalah adalah bahawa Windows 7 dan 8 mempunyai arahan terbina dalam yang melakukan perkara yang sama. Gunakan yang berikut:
senarai hardlink fsutil
Catatan: Lebih baik untuk belajar menggunakan perkara terbina apabila mungkin, kerana anda tidak tahu kapan anda perlu melakukan sesuatu pada komputer orang lain apabila anda tidak mempunyai toolkit anda.
DiskView Memaparkan Struktur Cakera
Utiliti ini membolehkan anda melihat struktur cakera keras anda dengan terperinci, dan anda juga boleh mengezum semua jalan masuk dan memilih fail untuk menyerlahkan dalam senarai, supaya anda dapat melihat di mana fail tertentu berada pada pemacu, dan juga lihat sama ada ia berpecah atau tidak. Ia tidak berguna untuk kebanyakan orang, tetapi semoga anda mempunyai senario di mana anda mungkin perlu menggunakannya.
Disk2vhd Menghidupkan PC ke Pemacu Cakera Maya
Utiliti ini mewujudkan klon cakera keras komputer anda semasa ia berjalan, dan menyusunnya ke dalam fail Hard Drive Maya yang boleh digunakan dalam mesin maya. Dan ia berlaku semasa PC berjalan.
Benar, anda boleh membuat mesin maya cakera keras anda semasa komputer anda berjalan. Ini juga boleh membantu senario di mana anda ingin melakukan beberapa analisis forensik mesin tetapi pada komputer anda sendiri - anda hanya boleh membuat klon dan kemudian boot sebagai mesin maya.
Pilihan untuk Vhdx memberitahu Disk2vhd untuk menggunakan format fail VHDX yang lebih baru daripada format fail VHD, yang mempunyai beberapa batasan. Secara lalai Disk2vhd akan membuat fail berasingan untuk setiap pemacu fizikal, tetapi meletakkan partition ke dalam fail yang sama. Jika anda merancang untuk melampirkan fail VHD ini ke mesin maya yang lain, atau hanya memasangnya pada komputer Windows biasa, anda boleh menyahsekat partition yang anda tidak perlukan dalam senarai. Jika anda bercadang untuk membuat mesin maya daripada itu, anda mungkin harus meninggalkan semua yang diperiksa.
Fail output VHD sebenarnya boleh diletakkan pada pemacu yang sama yang anda buat salinan, tetapi kami akan mengesyorkan menggunakan pemacu kedua jika mungkin hanya untuk menjadikannya semua lebih cepat.
PageDefrag adalah Usang
Utiliti ini membolehkan anda untuk fail sistem defragment semasa boot, tetapi kerana ia tidak berfungsi pada Windows versi terkini, anda harus melangkauinya.
Menyegerakkan Menulis Data Cached ke Disk Anda
Utiliti ini hanya menyegerakkan semua data cache ke cakera untuk memastikan semua perubahan fail ditulis ke pemacu dan tidak disimpan di sesetengah penampan di suatu tempat. Sudah tentu, anda harus menggunakan pilihan Selamat Lepaskan setiap kali jika anda ingin memastikan anda tidak akan kehilangan data apabila menarik pemacu denyar.
Monitor Cakera Menunjukkan Anda Aktiviti Pemacu Hard Masa Sebenar
Utiliti ini menunjukkan aktiviti pemacu keras sebenar yang berlaku dalam masa nyata - sektor, membaca, menulis, panjang data, semuanya ada. Satu-satunya masalah adalah bahawa ia tidak begitu berguna untuk kebanyakan orang.
Apa yang lebih berguna, mungkin, pemantauan disk "Cakera Cakera Dulang" yang boleh anda pilih dari menu Pilihan. Sebaik sahaja anda mendayakan mod itu, ia akan bergerak ke dalam dulang sistem dan berkedut merah untuk menulis, hijau untuk dibaca, atau kekal kelabu apabila tiada apa yang berlaku.
Jika hanya ikon yang sepadan dengan Windows 8 sedikit lebih baik.
VolumeID Mengubah Nombor Serial Drive
Pernahkah anda perasan bagaimana setiap pemacu mempunyai nombor bersiri yang kelihatan seperti 064B-1E81 atau sesuatu yang sama-sama tidak menarik? Jika anda ingin menukar nombor bersiri itu dengan sesuatu yang lebih menyeronokkan, anda boleh melakukannya dengan menggunakan utiliti VolumeID dengan sintaks ini:
volumeid XXXX-XXXX
Sila ambil perhatian bahawa sintaks memerlukan aksara perencuan, jadi anda tidak dapat menaip GEEK-1337 seperti yang kita lakukan, kerana ia tidak akan berfungsi.
Pelajaran seterusnya
Besok kita akan membungkus siri dengan melihat beberapa utiliti kecil yang kita rindukan, serta beberapa panduan untuk menggunakan semua alat bersama-sama, dan apabila anda perlu menarik setiap alat.