Skoro smo gotovi s našom serijom Geek School o alatima SysInternals, a danas ćemo govoriti o svim uslužnim programima koji vam pomažu u radu s datotekama i mapama - bilo da pronalazite skrivene podatke ili sigurno brišete datoteku.



ŠKOLSKA NAVIGACIJA
  1. Što su SysInternals alati i kako ih koristite?
  2. Razumijevanje Process Explorera
  3. Korištenje Process Explorera za rješavanje problema i dijagnosticiranje
  4. Razumijevanje Process Monitora
  5. Korištenje Process Monitora za rješavanje problema i pronalaženje hakova u registru
  6. Korištenje automatskog pokretanja za rješavanje procesa pokretanja i zlonamjernog softvera
  7. Korištenje BgInfo za prikaz informacija o sustavu na radnoj površini
  8. Korištenje PsTools za upravljanje drugim računalima iz naredbenog retka
  9. Analiza i upravljanje vašim datotekama, mapama i diskovima
  10. Završavanje i zajedničko korištenje alata

Postoji dosta uslužnih programa u kompletu alata koji se bave raznim stvarima koje su povezane s datotekama ili mapama ili pronalaženjem podataka za koje niste znali da su tamo, a postoji nekoliko onih koji su pomalo glupi. U svakom slučaju, sve ćemo ih pokriti.

Najvažniji alati povezani s datotekama u kompletu za upoznavanje vjerojatno su uslužni programi Sigcheck i Streams, ali bilo bi mudro sve ih pažljivo pročitati.

Streams Pronalazi i prikazuje skrivene NTFS streamove

Većina ljudi ne zna za ovu značajku, ali Windows će vam dopustiti Kako sakriti podatke u pretincu za tajnu tekstualnu datoteku

Na primjer, ako želite sakriti neke podatke u datoteci, možete učiniti nešto poput echo Secret > naziv datoteke.txt:hiddenstuff čak i da otvorite tu tekstualnu datoteku u Notepadu, ne biste vidjeli tajni tekst koji ste dodali i ne bi bilo drugog načina da saznate da je uopće tamo. Zapravo, pomoću ove tehnike možete učiniti gotovo sve što želite. (Pobrinite se da čarobno znate da su datoteke preuzete s interneta, skrivanjem podataka unutar polja Zone.Identifier. Zapravo, možete izbrisati ovaj alternativni tok podataka pomoću uslužnog programa Streams.

Sintaksa je jednostavna - da biste vidjeli streamove, upišite sljedeće na upit:

potoci

Oglas

Također možete koristiti streamove *.exe ili nešto slično da vidite sve datoteke sa skrivenim podacima streama, ako ih ima. Najbrži način da vidite nešto je da uđete u svoj direktorij preuzimanja i tamo ga pokrenete.

Da biste izbrisali jedan od streamova ili mnoge od njih, možete koristiti opciju -d:

potoci -d

kako pogledati eps datoteke

Također možete koristiti opciju -s za rekurzivni ulazak u poddirektorije.

SigCheck analizira datoteke koje nisu digitalno potpisane (poput zlonamjernog softvera)

Ovaj vrlo koristan uslužni program analizira digitalne potpise datoteka na vašem sustavu i govori vam jesu li valjane ili im nedostaje certifikat. Također ga možete koristiti za provjeru datoteka u odnosu na VirusTotal iz naredbenog retka, što je zgodno, jer je prava svrha ovog alata pronaći zlonamjerni softver.

Normalna i najkorisnija sintaksa je dodavanje prekidača -u, koji samo prijavljuje probleme, i prekidača -e, koji samo provjerava izvršne datoteke. Dakle, možete pokrenuti nešto poput ovoga da provjerite svoj system32 direktorij i provjerite jesu li sve datoteke digitalno potpisane. Sve ostalo treba vrlo pomno ispitati.

sigcheck -e -u C:WindowsSystem32

Također možete koristiti opciju -v za dodatnu provjeru u odnosu na VirusTotal, ali morat ćete upotrijebiti opciju -vt prvi put kako biste prihvatili njihove uvjete i odredbe.

sigcheck -v -vt

SDelete sigurno briše datoteke

Ako ste paranoični tip, bit će vam drago znati da možete sigurno izbrisati datoteke iz naredbenog retka kad god želite. Samo upotrijebite uslužni program sdelete da ubijete datoteku protokolima za brisanje usklađenim s DoD-om. (Naravno, NSA vjerojatno još uvijek ima kopiju vaše datoteke). Sintaksa je jednostavna:

sdelete

Oglas

Alternativno možete očistiti slobodan prostor na disku pomoću sdelete -c opciju, što će trajati dulje, ali je dobra opcija ako ste zaboravili upotrijebiti sdelete za uklanjanje datoteke.

Contig defragmentira jednu ili više pojedinačnih datoteka

Ako želite defragmentirati samo jednu datoteku ili popis datoteka, možete koristiti uslužni program Contig za to. Naravno, zapravo ne trebate defragmentirati datoteke u modernim verzijama sustava Windows koje to rade automatski. I da, ako koristite solid state disk nikada ne biste trebali defragmentirati niti trebate. Ali ako apsolutno, pozitivno, morate defragmentirati jednu datoteku, ovo je pomoćni program za to. Sintaksa je jednostavna:

contig

Ako želite analizirati fragmentaciju datoteke, a da zapravo ništa ne radite, možete koristiti prekidač -a kao što je prikazano u nastavku:

Vrijedi napomenuti da čak i ako je datoteka fragmentirana, ako je datoteka vrlo velika i razbijena je samo na nekoliko velikih dijelova, defragmentiranjem nećete dobiti u suštini ništa i izgubit ćete više vremena mučeći se s njom nego što biste uštedjeli.

du Prikazuje korištenje diska

Uvijek možete jednostavno kliknuti desnom tipkom miša bilo koju datoteku ili mapu u Windows Exploreru i odabrati Svojstva ili upotrijebiti tipkovnički prečac ALT + ENTER da vidite veličinu datoteke ili mape. Ali što ako želite vidjeti te podatke iz naredbenog retka? Tu dolazi pomoćni program du, koji je također malo točniji jer ne broji simboličke povezane datoteke, a provjerava i alternativne tokove podataka.

Oglas

Opcija -n provjerava samo jednu mapu, bez ponavljanja u poddirektorijume, dok se opcija -v ponavlja i također prikazuje svaki direktorij dok prolazi kroz popis, a -l (n) opcija provjerava samo n razina duboko. Kao u, -l 2 bi provjerio 2 razine duboko.

PendMoves Prikazuje datoteke koje se kreću pri sljedećem ponovnom pokretanju

Jeste li se ikada zapitali zašto vas instalacija aplikacija tjera da ponovno pokrenete računalo ? Odgovor je obično da žele premjestiti neke datoteke koje se ne mogu premještati dok je Windows pokrenut, pa koriste ugrađenu značajku sustava Windows koja upravlja premještanjem ili brisanjem datoteka pri ponovnom pokretanju.

Jedino što trebate učiniti je pokrenuti naredbu i ona će ispisati podatke. Zašto je planirano premještanje kopije Process Explorera u mapu Windows pri sljedećem ponovnom pokretanju? Nastavi čitati.

MoveFiles Premješta datoteke sustava kada ponovno pokrenete sustav

Ovaj uslužni program koristi ugrađenu značajku sustava Windows za planiranje premještanja, brisanja ili preimenovanja datoteke ili direktorija tako da se to dogodi tijekom sljedećeg ciklusa ponovnog pokretanja, prije nego što se Windows potpuno učita. Sintaksa je vrlo jednostavna:

movefile

Ako želite izbrisati datoteku, možete koristiti prazno odredište korištenjem navodnika, npr movefile . Kao što možete vidjeti na snimci zaslona u nastavku, koristili smo naredbu Movefile da zakažemo premještanje kopije Process Explorera u Windows direktorij kako bismo ilustrirali kako sve funkcionira.

Junction stvara simboličke veze

POVEZANO: Potpuni vodič za stvaranje simboličkih veza (aka Symlinks) u sustavu Windows

Windows podržava simboličke veze za datoteke i mape, tako da možete imati više od jedne točke puta do iste datoteke kako biste uštedjeli prostor umjesto da imate više kopija datoteke. Ideja je slična prečacima, osim što je na razini datotečnog sustava i ugrađen u NTFS.

Oglas

Uslužni program Junction omogućuje jednostavno stvaranje i brisanje ovih veza. Također ih možete izbrisati pomoću spoj -d .

spojnica

Realnost je, međutim, da Windows od Viste ima mogućnost stvaranja simboličnih veza naredbom mklink , a možete ga koristiti i umjesto njega.

FindLinks Pronalazi tvrde veze do datoteka

Ovaj mali uslužni program pronalazi sve tvrde veze koje upućuju na datoteku. Tvrde veze se razlikuju od simboličkih veza po tome što brisanje jedne tvrde veze zapravo ne briše datoteku ako postoji više tvrdih veza na tu datoteku, samo se čini da je brišete dok ne izbrišete sve tvrde veze. Nakon što izbrišete posljednju čvrstu vezu, datoteka će biti izbrisana.

Bilješka : ovo bi zapravo mogao biti zanimljiv način da se uvjerite da određenu datoteku ne izbriše netko tko ima naviku brisanja datoteka. Samo stvorite čvrstu vezu na sve datoteke za koje ne želite da izgube.

U svakom slučaju, ovu naredbu možete koristiti dovoljno jednostavno:

pronađi veze

Jedini problem je što Windows 7 i 8 imaju ugrađenu naredbu koja radi istu stvar. Umjesto toga upotrijebite ovo:

fsutil popis tvrdih veza

Oglas

Bilješka: Uvijek je bolje naučiti koristiti ugrađene stvari kada je to moguće, jer nikad ne znate kada ćete morati učiniti nešto na tuđem računalu kada nemate svoj alat.

DiskView prikazuje strukturu diska

Ovaj uslužni program omogućuje vam da vidite strukturu vašeg tvrdog diska s velikim detaljima, a možete čak i zumirati do kraja i odabrati datoteku koju želite istaknuti na popisu, tako da možete vidjeti gdje se određena datoteka nalazi na disku, a također vidjeti je li fragmentiran ili ne. Za većinu ljudi nije jako koristan, ali nadamo se da imate scenarij u kojem ćete ga možda trebati upotrijebiti.

Disk2vhd pretvara računala u virtualne tvrde diskove

Ovaj uslužni program stvara klon tvrdog diska vašeg računala dok je pokrenut i sve to spaja u datoteku virtualnog tvrdog diska koja se može koristiti u virtualnom stroju. I to radi dok računalo radi.

Tako je, možete stvoriti virtualni stroj svog tvrdog diska dok vaše računalo radi. Ovo bi također moglo biti od velike pomoći za scenarije u kojima želite napraviti neku forenzičku analizu stroja, ali na vlastitom računalu - možete jednostavno stvoriti klon, a zatim ga umjesto toga pokrenuti kao virtualni stroj.

Opcija za Vhdx govori Disk2vhd da koristi noviji VHDX format datoteke umjesto VHD formata datoteke, koji je imao brojna ograničenja. Prema zadanim postavkama Disk2vhd će stvoriti zasebne datoteke za svaki fizički pogon, ali će staviti particije u istu datoteku. Ako jednostavno namjeravate priložiti ovu VHD datoteku drugom virtualnom stroju, ili je čak samo montirati na obično Windows računalo, možete poništiti particije koje vam nisu potrebne na popisu. Ako namjeravate od njega napraviti virtualni stroj, vjerojatno biste trebali ostaviti sve označeno.

Oglas

VHD izlazna datoteka se zapravo može staviti na isti pogon na kojem izrađujete kopiju, ali preporučujemo korištenje drugog pogona ako je moguće samo da sve ide brže.

PageDefrag je zastario

Ovaj uslužni program omogućio vam je defragmentaciju sistemskih datoteka tijekom pokretanja, ali budući da ne radi na novijim verzijama Windowsa, trebali biste ga preskočiti.

google tablice broje prazne ćelije

Sinkronizacija zapisuje podatke iz predmemorije na vaš disk

Ovaj uslužni program jednostavno sinkronizira sve podatke iz predmemorije na disk kako bi se osiguralo da su sve promjene datoteka zapisane na pogon, a ne pohranjene u nekom međuspremniku negdje. Naravno, ti treba koristiti opciju Sigurno uklanjanje svaki put ako želite biti sigurni da nećete izgubiti podatke prilikom povlačenja flash pogona.

Disk Monitor vam pokazuje aktivnost tvrdog diska u stvarnom vremenu

Ovaj uslužni program prikazuje stvarnu aktivnost tvrdog diska koja se događa u stvarnom vremenu - sektori, čitanje, pisanje, duljina podataka, sve je tu. Jedini problem je što za većinu ljudi nije užasno korisna.

Ono što je malo korisnije, možda, je praćenje diska Tray Disk Light koje možete odabrati iz izbornika Options. Nakon što omogućite taj način rada, premjestit će se u traku sustava i treptati crveno za pisanje, zeleno za čitanje ili će ostati sivo kada se ništa ne događa.

Kad bi barem ikona malo bolje odgovarala sustavu Windows 8.

VolumeID Mijenja serijski broj pogona

Jeste li ikada primijetili kako svaki disk ima serijski broj koji izgleda kao 064B-1E81 ili nešto jednako nezanimljivo? Ako želite promijeniti taj serijski broj u nešto zabavnije, to možete učiniti pomoću uslužnog programa VolumeID s ovom sintaksom:

volumeid XXXX-XXXX

Oglas

Imajte na umu da sintaksa zahtijeva korištenje heksadecimalnih znakova, tako da ne možete upisivati ​​GEEK-1337 kao mi, jer jednostavno neće raditi.

Sljedeća lekcija

Sutra ćemo završiti seriju s osvrtom na neke od malih uslužnih programa koje smo propustili, kao i neke smjernice o korištenju svih alata zajedno i kada biste trebali izvaditi svaki alat.

PROČITAJTE SLJEDEĆE
  • › Mapa računala je 40: Kako je Xerox Star stvorio radnu površinu
  • Cyber ​​ponedjeljak 2021.: Najbolje tehničke ponude
  • › Funkcije u odnosu na formule u Microsoft Excelu: u čemu je razlika?
  • › Što je MIL-SPEC zaštita od pada?
  • › Kako pronaći svoj Spotify omotan 2021
  • › 5 web stranica koje svaki korisnik Linuxa treba označiti