Analysere og administrere dine filer, mapper og drev

Indholdsfortegnelse:

Video: Analysere og administrere dine filer, mapper og drev

Video: Analysere og administrere dine filer, mapper og drev
Video: How Facebook is Stealing Billions of Views 2024, Marts
Analysere og administrere dine filer, mapper og drev
Analysere og administrere dine filer, mapper og drev
Anonim
Vi er næsten færdige med vores Geek School-serie på SysInternals værktøjer, og vi skal i dag tale om alle de værktøjer, der hjælper dig med at håndtere filer og mapper - uanset om du finder skjulte data eller sikkert sletter en fil.
Vi er næsten færdige med vores Geek School-serie på SysInternals værktøjer, og vi skal i dag tale om alle de værktøjer, der hjælper dig med at håndtere filer og mapper - uanset om du finder skjulte data eller sikkert sletter en fil.

SCHOOL NAVIGATION

  1. Hvad er SysInternals Tools og hvordan bruger du dem?
  2. Forstå Process Explorer
  3. Brug af Process Explorer til fejlfinding og diagnosticering
  4. Forståelse Process Monitor
  5. Brug Procesovervågning til Fejlfinding og Find Registry Hacks
  6. Brug Autoruns til at håndtere opstartsprocesser og malware
  7. Brug af BgInfo til at vise systemoplysninger på skrivebordet
  8. Brug af PsTools til at styre andre pc'er fra kommandolinjen
  9. Analysere og administrere dine filer, mapper og drev
  10. Indpakning og brug af værktøjerne sammen

Der er en hel del værktøjer i værktøjssætet, der beskæftiger sig med alle mulige ting, der er relateret til filer eller mapper eller at finde data, som du ikke vidste var der, og der er et par der er lidt på den dumme side. Uanset hvad vi dækker dem alle.

De vigtigste filrelaterede værktøjer i kittet til at lære at vide er sandsynligvis Sigcheck og Streams utilities, men det ville være klogt at læse dem alle omhyggeligt.

Strømme finder og viser skjulte NTFS-streams

De fleste mennesker ved ikke om denne funktion, men Windows giver dig mulighed for at gemme data inde i et skjult rum i filsystemet kaldet alternative datastrømme. Dette virker grundlæggende ved at tilføje et kolon og en unik nøgle til slutningen af et filnavn, når det interagerer med det.

Hvis du f.eks. Vil skjule nogle data i en fil, kan du gøre noget lignendeekkoshemmelighed> filnavn.txt: hiddenstuffog selvom du åbner den tekstfil i notesblok, ville du ikke se den "hemmelige" tekst, du tilføjede, og der ville ikke være nogen anden måde at vide, at det var endda der. Faktisk kan du gøre næsten alt hvad du vil bruge denne teknik. (Sørg for at læse vores artikel om emnet for den fulde forklaring).

Dette er også den teknik, der gør det muligt for Windows at magisk vide, at filer er blevet downloadet fra internettet ved at gemme data inde i feltet Zone.Identifier. Faktisk kan du slette denne alternative datastrøm ved hjælp af strømmen.

Syntaxen er enkel - for at se vandløbene, skriv følgende ved prompten:

streams

Du kan også bruge "streams *.exe" eller noget lignende for at se alle filerne med skjulte streamdata, hvis der er nogen. Den hurtigste måde at se noget på er at gå ind i din download-mappe og køre den der.

For at slette en af strømmen eller mange af dem, kan du bruge indstillingen -d:
For at slette en af strømmen eller mange af dem, kan du bruge indstillingen -d:

streams -d

Du kan også bruge -s mulighed for at gå ind i underkataloger rekursivt.

SigCheck analyserer filer, der ikke er digitalt signeret (ligesom malware)

Denne meget nyttige hjælpeprogram analyserer de digitale signaturer af filer på dit system og fortæller dig, om de er gyldige eller mangler et certifikat. Du kan også bruge den til at kontrollere filer mod VirusTotal fra kommandolinjen, hvilket er praktisk, fordi det er det virkelige punkt i dette værktøj, er at finde malware.

Den normale og mest nyttige syntaks er at tilføje -u-kontakten, som kun rapporterer problemer, og -e-kontakten, som kun kontrollerer eksekverbare filer. Så du kan køre noget som dette for at tjekke din system32-mappe og sørge for, at alle filerne er digitalt underskrevet. Alt andet bør undersøges meget nøje.

sigcheck -e -u C:WindowsSystem32

Du kan også bruge -v-optionen til en ekstra check mod VirusTotal, men du skal bruge -vt-funktionen første gang for at acceptere deres vilkår og betingelser.

sigcheck -v -vt

Image
Image

SDelete sletter filer sikkert

Hvis du er den paranoide type, vil du være glad for at vide, at du sikkert kan tørre filer fra kommandolinjen, når du vil. Brug blot sdelete-værktøjet til at banke filen med DoD-kompatible sletningsprotokoller. (Selvfølgelig har NSA formentlig stadig en kopi af din fil). Syntaxen er enkel:

sdelete

Du kan alternativt rense det ledige rum på et drev ved at brugesdelete -cvalgmulighed, hvilket vil tage længere tid, men det er en god mulighed, hvis du har glemt at bruge sdelete til at fjerne filen i første omgang.

Image
Image

Contig Defragments En eller mange individuelle filer

Hvis du kun vil defragmentere en enkelt fil eller en liste over filer, kan du bruge Contig-værktøjet til at gøre netop det. Sikker på, du behøver ikke rigtig at defragmentere filer i moderne versioner af Windows, der gør det automatisk. Og ja, hvis du bruger et solid state-drev, skal du aldrig defragmentere eller behøver du. Men hvis du absolut, positivt, skal defragmentere en enkelt fil, er det nyttigt at gøre det. Syntaxen er enkel:

contig

Hvis du vil analysere fragmenteringen af en fil uden faktisk at gøre noget, kan du bruge -a-knappen som vist nedenfor:

Det er værd at bemærke, at selv om en fil er fragmenteret, hvis filen er meget stor og kun opdeles i et par store stykker, får du i det væsentlige intet fra defragmentering og vil have spildt mere tid forstyrrende med det, end du ville spare.
Det er værd at bemærke, at selv om en fil er fragmenteret, hvis filen er meget stor og kun opdeles i et par store stykker, får du i det væsentlige intet fra defragmentering og vil have spildt mere tid forstyrrende med det, end du ville spare.

du viser diskbrug

Du kan altid bare højreklikke på en fil eller en mappe i Windows Stifinder og vælge Egenskaber, eller brug ALT + ENTER-tastaturgenvejen for at se størrelsen af en fil eller mappe.Men hvad nu hvis du vil se data fra kommandoprompten? Det er her, hvor du kommer ind, og det er også lidt mere præcist, fordi det ikke tæller symbolske linkede filer, og det tjekker også alternative datastrømme.

Alternativet -n kontrollerer kun en enkelt mappe uden at genvinde i undermapper, mens -v-opsætningen genbruger og viser også hver mappe, som den går gennem listen, og -l (n) -tilvalget kun kontrollerer "n" -niveauerne dybt. Som i, ville 2 kontrollere 2 niveauer dybt.
Alternativet -n kontrollerer kun en enkelt mappe uden at genvinde i undermapper, mens -v-opsætningen genbruger og viser også hver mappe, som den går gennem listen, og -l (n) -tilvalget kun kontrollerer "n" -niveauerne dybt. Som i, ville 2 kontrollere 2 niveauer dybt.

PendMoves Viser filer, der flytter til næste genstart

Har du nogensinde spekuleret på, hvorfor applikationsinstallationer gør det muligt at genstarte din computer? Svaret er normalt, at de vil flytte nogle filer rundt, der ikke kan flyttes, mens Windows kører, så de bruger en indbygget Windows-funktion, der håndterer at flytte eller slette filer ved genstart.

Det eneste du skal gøre er at køre kommandoen, og det vil udgive dataene. Hvorfor planlægges en kopi af Process Explorer at flytte ind i Windows-mappen ved den næste genstart? Læs videre.

Image
Image

MoveFiles flytter systemfiler, når du genstarter

Dette hjælpeprogram bruger den indbyggede Windows-funktion til at planlægge et flyt, slette eller omdøbe en fil eller mappe, så det vil ske under den næste genstartcyklus, før Windows er fuldt indlæst. Syntaxen er virkelig enkel:

movefile

Hvis du vil slette en fil, kan du bruge en tom destination ved at bruge citater, som f.eksMoveFile “”. Som du kan se i skærmbilledet nedenfor, brugte vi Movefile-kommandoen til at planlægge en kopi af procesopdagelsesprogrammer, der skal flyttes til Windows-mappen for at illustrere, hvordan det hele fungerer.

Image
Image

Junction skaber symbolske links

Windows understøtter symbolske links til filer og mapper, så du kan have mere end et stipunkt til samme fil for at spare plads i stedet for at have flere kopier af en fil. Ideen ligner genveje, undtagen dette er på filsystemniveau og indbygget i NTFS.

Junction-værktøjet giver dig mulighed for nemt at oprette og slette disse links. Du kan også slette dem ved hjælp afkørsel -d .

junction

Virkeligheden er imidlertid, at Windows siden Vista har haft evnen til at oprette symlinks med mklink-kommandoen, og du kan lige så godt bruge den ene i stedet.

FindLinks finder hårde links til filer

Dette lille værktøj finder alle hard links, der peger på en fil. Hårde links adskiller sig fra symbolske links, fordi sletning af et hardt link slet ikke sletter filen, hvis der er flere hard links til den pågældende fil. Det ser ud til at slette det, indtil du har slettet alle de hårde links. Når du sletter det endelige hårde link, slettes filen.

Bemærk: Dette kunne faktisk være en interessant måde at sikre, at en bestemt fil ikke rigtig slettes af nogen, der har vane med at slette filer. Bare lav et hardt link til alle de filer, du ikke vil have, at de taber.

Under alle omstændigheder kan du bruge denne kommando nemt nok:

findlinks

Det eneste problem er, at Windows 7 og 8 har en indbygget kommando, der gør det samme. Brug denne i stedet:

fsutil hardlink list

Bemærk:Det er altid bedre at lære at bruge de indbyggede ting, når det er muligt, fordi du aldrig ved, hvornår du skal gøre noget på en andens computer, når du ikke har dit værktøjssæt.

DiskView Viser diskstruktur

Dette værktøj giver dig mulighed for at se strukturen på din harddisk i detaljer, og du kan endda zoome helt ind og vælge en fil, der skal fremhæves på listen, så du kan se, hvor en bestemt fil er på drevet, og også se om det er fragmenteret eller ej. Det er ikke frygteligt nyttigt for de fleste mennesker, men forhåbentlig har du et scenario, hvor du måske skal bruge det.

Image
Image

Disk2vhd skifter pc'er til virtuelle harddiske

Dette værktøj skaber en klon på computerens harddisk, mens den kører, og bundter det hele sammen til en Virtual Hard Drive-fil, der kan bruges i en virtuel maskine. Og det gør det mens pc'en kører.

Det er rigtigt, du kan oprette en virtuel maskine på din harddisk, mens din computer kører. Dette kan også være meget nyttigt for scenarier, hvor du vil gøre nogle retsmedicinske analyser af en maskine, men på din egen computer - du kan bare oprette en klon og derefter starte den som en virtuel maskine i stedet.

Muligheden for Vhdx fortæller Disk2vhd at bruge det nyere VHDX-filformat i stedet for VHD-filformatet, som havde en række begrænsninger. Disk2vhd skal som standard oprette separate filer for hvert fysisk drev, men sæt partitioner i samme fil. Hvis du simpelthen planlægger at vedhæfte denne VHD-fil til en anden virtuel maskine eller endda bare montere den på en almindelig Windows-computer, kan du fjerne markeringen af partitioner, som du ikke behøver på listen. Hvis du planlægger at lave en virtuel maskine ud af det, skal du sandsynligvis forlade alt kontrolleret.

VHD-uddatafilen kan faktisk placeres på det samme drev, som du laver en kopi af, men vi vil anbefale at bruge et andet drev, hvis det er muligt, for at gøre det hele gå hurtigere.
VHD-uddatafilen kan faktisk placeres på det samme drev, som du laver en kopi af, men vi vil anbefale at bruge et andet drev, hvis det er muligt, for at gøre det hele gå hurtigere.

PageDefrag er forældet

Dette værktøj tillod dig at defragmentere systemfiler under opstart, men da det ikke virker på nyere versioner af Windows, skal du springe over det.

Synkronisering skriver cachelagrede data til din disk

Dette værktøj synkroniserer simpelthen alle cachelagrede data ud på disken for at sikre, at alle filændringer er skrevet til drevet og ikke gemt i noget buffer et sted. Selvfølgelig skal du bruge funktionen Sikker fjernelse hver gang, hvis du vil være sikker på, at du ikke mister data, når du trækker et flashdrev.

Image
Image

Disk Monitor viser dig Real-Time harddisk aktivitet

Dette værktøj viser den faktiske harddiskaktivitet der sker i realtid - sektorer, læser, skriver, længden af dataene, det er alle der.Det eneste problem er, at det ikke er frygteligt nyttigt for de fleste mennesker.

Hvad er lidt mere nyttigt, måske er diskovervågningen "Bakke Disk Light", som du kan vælge fra menuen Indstillinger. Når du har aktiveret denne tilstand, vil den flytte ind i proceslinjen og blinke rødt for at skrive, grøn for at læse eller blive grå, når der ikke sker noget.
Hvad er lidt mere nyttigt, måske er diskovervågningen "Bakke Disk Light", som du kan vælge fra menuen Indstillinger. Når du har aktiveret denne tilstand, vil den flytte ind i proceslinjen og blinke rødt for at skrive, grøn for at læse eller blive grå, når der ikke sker noget.
Hvis kun ikonet matchede Windows 8 lidt bedre.
Hvis kun ikonet matchede Windows 8 lidt bedre.

VolumeID Ændrer drevets serienummer

Har du nogensinde bemærket, hvordan hvert drev har et serienummer, der ligner 064B-1E81 eller noget lige så uinteressant? Hvis du vil ændre dette serienummer til noget mere sjovt, kan du gøre det ved at bruge VolumeID-hjælpeprogrammet med denne syntaks:

volumeid XXXX-XXXX

Bemærk, at syntaksen kræver brug af hexadecimale tegn, så du kan ikke skrive GEEK-1337 som vi gjorde, fordi det bare ikke virker.

Image
Image

Næste lektion

I morgen skal vi pakke op i serien med et kig på nogle af de små værktøjer, vi savnede, samt nogle vejledning om at bruge alle værktøjerne sammen, og når du skal trække hvert værktøj ud.

Anbefalede: