If-Koubou

Failu, mapju un disku analīze un pārvaldīšana

Failu, mapju un disku analīze un pārvaldīšana (Kā)

Mēs gandrīz pabeidzam mūsu Geek skolu sēriju SysInternals rīkos, un šodien mēs runājam par visiem komunālajiem pakalpojumiem, kas palīdzēs jums rīkoties ar failiem un mapēm - vai jūs atrodat slēptus datus vai droši dzēšat failu.

SKOLAS NAVIGĀCIJA
  1. Kādi ir SysInternals rīki un kā jūs tos izmantot?
  2. Izpratne par Process Explorer
  3. Problēmu novēršana, lai novērstu traucējumus un diagnosticētu
  4. Izpratne par procesa monitoru
  5. Izmantojot procesa monitoru, lai novērstu un atrastu reģistra hacks
  6. Autoruns izmantošana, lai veiktu starta procesus un ļaunprogrammatūru
  7. Izmantojot BgInfo, lai parādītu sistēmas informāciju darbvirsmā
  8. Izmantojot PsTools, lai kontrolētu citus datorus no komandrindas
  9. Failu, mapju un disku analīze un pārvaldīšana
  10. Iesaiņošana un instrumentu lietošana kopā

Instrumentu komplektā ir diezgan daudz pakalpojumu, kas nodarbojas ar visu veidu lietām, kas saistītas ar failiem vai mapēm, vai arī meklējiet datus, kurus jūs nezināt, un tur ir daži, kas ir nedaudz par dumjš pusē. Katrā ziņā mēs tos visus aptverim.

Komplektā vissvarīgākie ar failu saistītiem rīkiem, lai uzzinātu, iespējams, ir Sigcheck un Streams komunālie pakalpojumi, taču būtu prātīgi tos rūpīgi izlasīt.

Streams atrod un parāda slēptās NTFS plūsmas

Lielākā daļa cilvēku nezina par šo funkciju, bet sistēma Windows ļaus jums uzglabāt datus faila sistēmas slēptā nodalījumā, ko sauc par alternatīvu datu plūsmām. Tas pamatā darbojas, pievienojot kārtiņu un unikālu atslēgu faila nosaukuma beigās, kad mijiedarbojas ar to.

Piemēram, ja vēlaties kādā failā slēpt dažus datus, jūs varētu darīt kaut ko līdzīguecho Secret> filename.txt: hiddenstuffun, pat ja jūs atvērtu šo teksta failu Notepad, jūs neredzēsit pievienoto "slepeno" tekstu, un nebūtu citu veidu, kā uzzināt, ka tas bija pat tur. Patiesībā, jūs varat darīt gandrīz visu, ko vēlaties, izmantojot šo tehniku. (Noteikti izlasiet mūsu rakstu par tēmu, lai iegūtu pilnu skaidrojumu).

Šī ir arī metode, kas ļauj Windows maģiski zināt, ka faili ir lejupielādēti no interneta, paslēpot datus Zone.Identifier laukā. Patiesībā jūs varat izdzēst šo alternatīvo datu plūsmu, izmantojot pakalpojumu Streams.

Sintakse ir vienkārša - lai apskatītu straumes, uzvednē ierakstiet šādu:

plūsmas

Varat arī izmantot "straumes * .exe" vai tamlīdzīgu, lai redzētu visus failus ar slēptiem plūsmas datiem, ja tādi ir. Ātrākais veids, kā kaut ko redzēt, ir nokļūt jūsu lejupielāžu direktorijā un palaist to tur.

Lai izdzēstu kādu no straumēm vai daudzas no tām, varat izmantot -d opciju:

plūsmas-d

Varat arī izmantot -s iespēju rekursīvi iedziļināties apakšdirektorijās.

SigCheck analizē failus, kas nav digitāli parakstīti (piemēram, malware).

Šī ļoti noderīgā lietderība analizē jūsu sistēmas failu ciparparakstus un informē jūs, vai tie ir derīgi vai trūkst sertifikāta. Varat arī to izmantot, lai pārbaudītu failus pret vīrusattēlu no komandrindas, kas ir ērti, jo tas ir šī rīka īstā vieta, ir atrast ļaunprātīgu programmatūru.

Parasts un visnoderīgākais sintakse ir pievienot -u slēdzi, kurā tiek ziņotas tikai problēmas, un -e slēdzis, kas pārbauda tikai izpildāmos failus. Lai jūs varētu palaist kaut ko līdzīgu, pārbaudiet savu sistēmas32 direktoriju un pārliecinieties, ka visi faili ir digitāli parakstīti. Viss cits ir jāpārbauda ļoti cieši.

sigcheck -e -u C: \ Windows \ System32

Varat arī izmantot -v opciju papildu pārbaudei pret VirusTotal, bet jums būs jāizmanto -v opcija pirmo reizi, lai pieņemtu noteikumus un nosacījumus.

sigcheck -v -vt

SDelete Droši izdzēš failus

Ja esat paranoiķis, jums būs prieks zināt, ka jūs varat droši noslaucīt failus no komandrindas jebkurā laikā, kad vēlaties. Vienkārši izmantojiet sdelete lietderību, lai izvilktu failu ar DoD saderīgiem dzēšanas protokoliem. (Protams, NSA, iespējams, joprojām ir sava faila kopija). Sintakse ir vienkārša:

sdelete

Alternatīvi varat tīrīt brīvo vietu uz diska, izmantojotsdelete-ckas ilgst ilgāk, bet ir laba izvēle, ja jūs aizmirstat lietot sdelete, lai vispirms noņemtu failu.

Contig Defragments viens vai daudzi atsevišķi faili

Ja vēlaties defragmentēt tikai vienu failu vai failu sarakstu, varat izmantot Contig utilītu, lai to izdarītu. Protams, jums faktiski nav nepieciešams defragmentēt failus modernās Windows versijās, kas to automātiski veic. Un jā, ja jūs izmantojat cieto stāvokli vadīt jūs nekad defragment un jums nav nepieciešams. Bet, ja jūs absolūti, pozitīvi, ir defragmentēt vienu failu, tas ir lietderība, lai to izdarītu. Sintakse ir vienkārša:

kontig

Ja vēlaties analizēt faila fragmentāciju, faktiski neko nedarot, varat izmantot -a slēdzi, kā parādīts zemāk:

Ir vērts atzīmēt, ka pat tad, ja fails ir sadrumstalots, ja fails ir ļoti liels un ir sadalīts tikai dažos lielos gabalos, no defragmentēšanas jūs iegūsiet būtiski neko un iztērēsit vairāk laika, nekā to varētu ietaupīt.

du demonstrē diska lietošanu

Jūs vienmēr varat ar peles labo pogu noklikšķināt uz jebkura faila vai mapes programmā Windows Explorer un izvēlēties Properties vai arī izmantot tastatūras īsceļu ALT + ENTER, lai redzētu faila vai mapes lielumu. Bet ko jūs vēlaties, lai redzētu datus no komandu uzvednes? Tieši šeit tiek parādīta lietderība, un tā ir arī nedaudz precīzāka, jo tajā netiek uzskaitīti simboliski saistīti faili, un tā pārbauda arī rezerves datu plūsmas.

Izmantojot opciju -n, tiek pārbaudīta tikai viena mape, neveicot rekordēšanu apakšdirektorijās, bet -v opcija atkārtojas, kā arī parāda katru direktoriju, kā tas iet caur sarakstu, un -l (n) iespēja pārbauda tikai "n" līmeņus dziļi.Tāpat kā, -l 2 pārbauda divus līmeņus dziļi.

PendMoves parādīs failus, kas pārvietojas nākamajā reboot

Vai esat kādreiz domājuši, kāpēc lietojumprogramma instalē, lai jūs no jauna datorā pārslēgtu? Atbilde parasti ir tāda, ka viņi vēlas pārvietot dažus failus, kurus nevar pārvietot, kamēr Windows darbojas, tāpēc viņi izmanto iebūvēto Windows funkciju, kas apstrādā failu pārvietošanu vai dzēšanu, ja tiek restartēta.

Vienīgais, kas jums jādara, ir palaist komandu, un tā izdos datus. Kāpēc procesa kopija, kuru nākamajā rebootēšanas laikā plāno pārvietot uz Windows mapi? Turpini lasīt.

MoveFiles Pārvieto sistēmas failus, kad jūs no jauna restartējat

Šī lietderība izmanto iebūvēto Windows funkciju, lai ieplānotu faila vai direktorija pārvietošanu, dzēšanu vai pārdēvēšanu, lai tas notiktu nākamā reboot cikla laikā, pirms Windows pilnībā ielādēts. Sintakse ir patiešām vienkārša:

pārvietot failu

Ja vēlaties dzēst failu, varat izmantot tukšu galamērķi, izmantojot citātus, piemērampārvietot failu "".Kā jūs varat redzēt zemāk esošajā ekrānuzņēmumā, mēs izmantojām komandu Movefile, lai plānotu procesa pētnieka kopiju, lai to pārvietotu uz Windows direktoriju, lai parādītu, kā tas viss darbojas.

Junction rada simboliskas saites

Windows atbalsta failu un mapju simboliskās saites, lai vienā un tajā pašā failā varētu būt vairāk nekā viens ceļš, lai saglabātu vietu, nevis multiplā faila kopijas. Ideja ir līdzīga īsinājumtaustiņiem, izņemot to, kas ir failu sistēmas līmenī un iebūvēts NTFS.

Junction lietderība ļauj jums izveidot un dzēst šīs saites viegli. Jūs tos varat arī izdzēst, izmantojotsavienojums -d.

krustojums

Tomēr realitāte ir tāda, ka Windows, jo Vista ir bijusi iespēja izveidot simlinks ar komandu mklink, un jūs to varat izmantot arī tā vietā.

FindLinks atrod cietas saites uz failiem

Šī mazā lietderība atrod visus cietos saites, kas norāda uz failu. Cietie saites atšķiras no simboliskajām saitēm, jo, izdzēšot vienu cieto saiti, faila faktiski netiek izdzēsta, ja ir vairāk cieto saišu uz šo failu, tā vienkārši šķiet, ka to izdzēš, kamēr neesat izdzēsis visus cietos saites. Kad jūs izdzēsīsiet galīgo cieto saiti, fails tiks dzēsts.

Piezīme: tas patiešām varētu būt interesants veids, kā pārliecināties, ka kāds lietotājs, kam ir ieradums dzēst failus, patiešām neizdzēš konkrētu failu. Vienkārši izveidojiet cieto saiti uz visiem failiem, kurus nevēlaties zaudēt.

Jebkurā gadījumā jūs varat viegli izmantot šo komandu:

atrast saites

Vienīgā problēma ir tā, ka Windows 7 un 8 ir iebūvēta komanda, kas dara to pašu. Izmantojiet šo vietā:

fsutil cieto saišu saraksts

Piezīme:Ja vien iespējams, vienmēr ir labāk iemācīties lietot iebūvēto saturu, jo jūs nekad nezināt, kad jums vajadzēs kaut ko darīt kāda cita datorā, ja jums nav sava rīka komplekta.

DiskView displeja diska struktūra

Šī lietderība ļauj jums ļoti detalizēti apskatīt cietā diska struktūru, un jūs varat pat pilnībā tuvināt un izvēlēties failu, lai to izceltu sarakstā, lai jūs varētu redzēt, kur uz diska ir konkrēts fails, kā arī vai tas ir sadrumstalots vai nē. Lielākajai daļai cilvēku tas nav ļoti noderīgi, bet, cerams, jums ir scenārijs, kur to varēsit izmantot.

Disk2vhd Pārvērš datorus virtuālajos cietajos diskos

Šī lietderība izveido datora cietā diska klonu, kamēr tā darbojas, un apvieno to visu virtuālā cietā diska failā, ko var izmantot virtuālajā mašīnā. Un tas notiek, kamēr dators darbojas.

Tas ir labi, jūs varat izveidot cietā diska virtuālo mašīnu, kamēr darbojas dators. Tas varētu būt ļoti noderīgi arī scenārijiem, kuros vēlaties veikt kādu kriminālistikas analīzi par mašīnu, bet gan savā datorā - jūs varētu vienkārši izveidot klonu un pēc tam boot tā kā virtuālo mašīnu.

Vhdx opcija norāda Disk2vhd, lai izmantotu jaunāku VHDX faila formātu, nevis VHD faila formātu, kuram bija vairāki ierobežojumi. Pēc noklusējuma Disk2vhd gatavojas izveidot atsevišķus failus katram fiziskajam diskam, bet ievietot starpsienas tajā pašā failā. Ja jūs vienkārši plānojat pievienot šo VHD failu citai virtuālajai mašīnai vai pat vienkārši uzstādīt to parastajā Windows datorā, varat noņemt atzīmes no sarakstiem, kas jums nav vajadzīgi. Ja jūs no tā plānojat izveidot virtuālo mašīnu, visticamāk viss jāpārbauda.

VHD izejas fails faktiski var tikt novietots tajā pašā diskā, kurā tiek veidota kopija, bet mēs iesakām izmantot otru disku, ja tas ir iespējams, tikai lai tas viss būtu ātrāk.

PageDefrag ir novecojis

Šī lietderība ļāva jums defragmentēt sistēmas failus boot laikā, bet, tā kā tas nedarbojas jaunākajās Windows versijās, jums tas jāizlaiž.

Sinhronizācija raksta kešatmiņā esošos datus uz diska

Šī lietderība vienkārši sinhronizē visus kešatmiņā esošos datus uz diska, lai pārliecinātos, ka visas faila izmaiņas tiek ierakstītas diskā un netiek glabātas kaut kur buferšķīdumā. Protams, katru reizi, kad vēlaties vilkt zibatmiņas disku, nevajadzēs zaudēt datus, jums vajadzētu izmantot iespēju droši noņemt.

Disk Monitor parāda reālā laika cietā diska darbību

Šī lietderība parāda faktisko cieto disku darbības notiek reālajā laikā - nozarēs, lasīt, raksta, datu garums, tas viss tur. Vienīgā problēma ir tā, ka vairumam cilvēku tas nav ļoti noderīgi.

Kas ir nedaudz vairāk noderīgs, varbūt, ir diska monitorings "Tray Disk Light", kuru varat izvēlēties izvēlnē Opcijas. Kad esat aktivizējis šo režīmu, tas pārvietosies uz sistēmas teknē un mirgo mirklī sarkanā krāsā, lai rakstītu, zaļš lasītu vai paliktu pelēks, ja nekas nenotiek.

Ja tikai ikona atbilst Windows 8 nedaudz labāk.

VolumeID maina diska sērijas numuru

Vai kādreiz esat pamanījuši, ka katram diskos ir sērijas numurs, kas izskatās kā 064B-1E81 vai kaut kas vienlīdz neinteresants? Ja vēlaties mainīt šo sērijas numuru kaut ko daudz jautrāku, to varat izdarīt, izmantojot rīku VolumeID ar šo sintaksi:

volumeid XXXX-XXXX

Lūdzu, ņemiet vērā, ka sintakse prasa izmantot heksadecimālās rakstzīmes, tādēļ jūs nevarat ierakstīt GEEK-1337, kā mēs to darījām, jo ​​tas vienkārši nedarbosies.

Nākamā nodarbība

Rīt mēs gatavojamies iesaiņot sēriju, apskatot dažus mazos komunālos pakalpojumus, kurus mēs neatbildējām, kā arī dažus norādījumus par to, kā kopā izmantot visus instrumentus, un, kad vajadzētu izvilkt katru rīku.