Домашня » школа » Аналіз і керування файлами, папками та дисками

    Аналіз і керування файлами, папками та дисками

    Ми майже завершили серію Geek School на інструментах SysInternals, і сьогодні ми поговоримо про всі утиліти, які допоможуть вам мати справу з файлами та папками - чи знаходите ви приховані дані або безпечно видаляєте файл.

    ШКОЛА НАВІГАЦІЇ
    1. Які інструменти SysInternals і як ви їх використовуєте?
    2. Розуміння процесу Explorer
    3. Використання Process Explorer для усунення неполадок та діагностики
    4. Розуміння процесу моніторингу
    5. Використання процесу моніторингу для усунення неполадок і знайти реєстр хакі
    6. Використання Autoruns для роботи з запуску процесів і шкідливих програм
    7. Використання BgInfo для відображення системної інформації на робочому столі
    8. Використання PsTools для управління іншими комп'ютерами з командного рядка
    9. Аналіз і керування файлами, папками та дисками
    10. Загортання та використання інструментів разом

    Є досить багато утиліт у наборі інструментів, які мають справу з усіма видами речей, які пов'язані з файлами або папками або пошуку даних, які ви не знали, що існує, і є кілька, які трохи на дурній стороні. У будь-якому випадку, ми будемо охоплювати їх усіх.

    Найбільш важливі інструменти, пов'язані з файлами в комплекті, щоб дізнатися, ймовірно, утиліти Sigcheck і Streams, але було б доречно прочитати їх усі ретельно.

    Потоки знаходить і відображає приховані потоки NTFS

    Більшість людей не знають про цю функцію, але Windows дозволить вам зберігати дані всередині прихованого відділення у файловій системі, що називається альтернативними потоками даних. Це в основному працює шляхом додавання двокрапки і унікального ключа до кінця імені файлу при взаємодії з ним.

    Наприклад, якщо ви хочете приховати деякі дані у файлі, ви можете зробити щось подібне echo Secret> filename.txt: прихований і навіть якщо ви відкрили цей текстовий файл у Блокноті, ви не побачите доданий текст «Секретного», і не було б іншого способу дізнатися, що він був там. Насправді, ви можете скористатися цією технікою майже все, що хочете. (Не забудьте прочитати нашу статтю на цю тему для повного пояснення).

    Це також метод, що дозволяє Windows знати, що файли були завантажені з Інтернету, приховуючи дані всередині поля Zone.Identifier. Фактично, цей альтернативний потік даних можна видалити за допомогою утиліти Streams.

    Синтаксис простий - щоб побачити потоки, введіть наступне у запиті:

    потоки

    Ви також можете використовувати «потоки * .exe» або щось подібне, щоб побачити всі файли з прихованими потоковими даними, якщо такі є. Найшвидший спосіб побачити щось - це перейти до каталогу завантажень і запустити його там.

    Щоб видалити один з потоків або багато з них, можна скористатися параметром -d:

    потоки -d

    Ви також можете використовувати опцію -s для рекурсивного переходу до підкаталогів.

    SigCheck аналізує файли, які не підписані цифровим способом (наприклад, Malware)

    Ця дуже корисна утиліта аналізує цифрові підписи файлів у вашій системі та повідомляє, чи є вони дійсними або відсутні сертифікати. Ви також можете скористатися нею для перевірки файлів у VirusTotal з командного рядка, що зручно, тому що це справжній момент цього інструменту - знайти шкідливе програмне забезпечення.

    Нормальним і найбільш корисним синтаксисом є додавання перемикача -u, який повідомляє лише про проблеми, і перемикач -e, який перевіряє лише виконувані файли. Таким чином, ви можете запустити щось на зразок цього, щоб перевірити ваш каталог system32 і переконатися, що всі файли з цифровим підписом. Все інше слід розглядати дуже уважно.

    sigcheck -e -u C: Windows System32

    Ви також можете скористатися опцією -v для додаткової перевірки проти VirusTotal, але вам доведеться використовувати опцію -vt вперше, щоб прийняти їх умови та умови..

    sigcheck -v -vt

    SDelete надійно видаляє файли

    Якщо ви параноїдальний тип, ви будете раді дізнатися, що ви можете безпечно витирати файли з командного рядка в будь-який час. Просто скористайтеся утилітою sdelete для видалення файлу з протоколами видалення, сумісними з DoD. (Звичайно, у NSA, ймовірно, ще є копія вашого файлу). Синтаксис простий:

    sdelete

    Можна також чистити вільний простір на диску за допомогою sdelete -c опція, яка займе більше часу, але є хорошим варіантом, якщо ви забули використовувати sdelete, щоб видалити файл.

    Contig Defragments один або багато окремих файлів

    Якщо ви хочете дефрагментувати лише один файл або список файлів, ви можете скористатися утилітою Contig. Звичайно, вам не потрібно дефрагментувати файли в сучасних версіях Windows, які роблять це автоматично. І так, якщо ви використовуєте твердотільний накопичувач, ви ніколи не повинні дефрагментувати і вам не потрібно. Але якщо ви абсолютно, позитивно, повинні дефрагментувати один файл, це утиліта для цього. Синтаксис простий:

    contig

    Якщо ви хочете проаналізувати фрагментацію файлу, фактично нічого не роблячи, можна використовувати перемикач -a, як показано нижче:

    Варто зауважити, що навіть якщо файл є фрагментованим, якщо файл дуже великий і розбитий лише на кілька великих частин, ви фактично не отримаєте нічого від дефрагментації і витратите більше часу на турбування, ніж ви могли б зберегти..

    du Показує використання диска

    Ви завжди можете просто клацнути правою кнопкою миші будь-який файл або папку в Провіднику Windows і вибрати "Властивості", або скористатися клавіатурним скороченням ALT + ENTER, щоб побачити розмір файлу або папки. Але що, якщо ви хочете побачити ці дані з командного рядка? Ось де вбудовується утиліта du, і вона також є дещо точнішою, оскільки не враховує символічні пов'язані файли, а також перевіряє альтернативні потоки даних..

    Опція -n перевіряє лише одну папку, не рекурсуючи в підкаталоги, тоді як опція -v рекурсує, а також показує кожну директорію, оскільки вона проходить через список, а параметр -l (n) перевіряє глибину лише рівнів n. Як і в, -l 2 буде перевіряти 2 рівня глибоко.

    PendMoves Відображає файли, які переходять до наступного перезавантаження

    Ви коли-небудь замислювалися, чому встановлення програми змушує перезавантажити комп'ютер? Відповідь, як правило, полягає в тому, що вони хочуть перемістити деякі файли, які не можуть бути переміщені під час роботи Windows, тому вони використовують вбудовану функцію Windows, яка обробляє переміщення або видалення файлів під час перезавантаження.

    Єдине, що потрібно зробити, це запустити команду, і вона виведе дані. Чому копія Process Explorer планується перенести в папку Windows під час наступної перезавантаження? Читайте далі.

    MoveFiles переміщує системні файли під час перезавантаження

    Ця утиліта використовує вбудовану функцію Windows для планування переміщення, видалення або перейменування файлу або каталогу, так що це станеться під час наступного циклу перезавантаження, перш ніж Windows буде повністю завантажена. Синтаксис дійсно простий:

    movefile

    Якщо ви хочете видалити файл, ви можете використовувати порожнє місце призначення, використовуючи лапки, наприклад файл переміщення "". Як ви можете бачити на скріншоті нижче, ми скористалися командою Movefile, щоб запланувати перенесення копії дослідника процесу у каталог Windows, щоб проілюструвати, як це працює.

    Junction створює символічні посилання

    Windows підтримує символічні посилання для файлів і папок, так що ви можете мати більше одного шляху до одного файлу, щоб заощадити місце, замість того, щоб мати кілька копій файлу. Ідея схожа на ярлики, за винятком того, що це на рівні файлової системи і вбудовано в NTFS.

    Утиліта Junction дозволяє легко створювати та видаляти ці посилання. Ви також можете видалити їх за допомогою перехрестя -d .

    перехрестя

    Реальність, однак, полягає в тому, що Windows, оскільки Vista мала можливість створювати символічні посилання з командою mklink, і ви також можете використовувати цю замість..

    FindLinks знаходить жорсткі посилання на файли

    Ця невелика утиліта знаходить всі жорсткі посилання, що вказують на файл. Жорсткі посилання відрізняються від символьних посилань тим, що видалення однієї жорсткої посилання фактично не видаляє файл, якщо на цей файл є більш жорсткі посилання, він просто видаляє його, поки ви не видалили всі жорсткі посилання. Після видалення остаточного жорсткого посилання файл буде видалено.

    Примітка: насправді це може бути цікавий спосіб переконатися, що певний файл не видаляється кимось, хто має звичку видаляти файли. Просто створіть жорстке посилання на всі файли, які ви не хочете втрачати.

    У будь-якому випадку цю команду можна використовувати досить легко:

    findlinks

    Єдина проблема в тому, що Windows 7 і 8 мають вбудовану команду, яка робить те ж саме. Скористайтеся цим:

    список fsutil hardlink

    Примітка: Завжди краще навчитися користуватися вбудованими матеріалами, коли це можливо, тому що ви ніколи не знаєте, коли вам треба щось робити на іншому комп'ютері, коли у вас немає свого інструментарію.

    DiskView Відображає структуру диска

    Ця утиліта дозволяє детально переглядати структуру вашого жорсткого диска, і навіть можна збільшити масштаб і вибрати файл для виділення у списку, щоб побачити, де на диску є певний файл, а також побачити, чи є він фрагментованим чи ні. Це не дуже корисно для більшості людей, але, сподіваюся, у вас є сценарій, в якому вам може знадобитися його використання.

    Disk2vhd Перетворює ПК у віртуальні жорсткі диски

    Ця утиліта створює клон жорсткого диска вашого комп'ютера, коли він працює, і поєднує його в файл віртуального жорсткого диска, який можна використовувати у віртуальній машині. І це робить це під час роботи комп'ютера.

    Це вірно, ви можете створити віртуальну машину жорсткого диска під час роботи комп'ютера. Це також може бути дуже корисним для сценаріїв, де ви хочете виконати певний аналіз судової системи, але на вашому комп'ютері - ви можете просто створити клон, а потім завантажити його як віртуальну машину..

    Опція для Vhdx наказує Disk2vhd використовувати новий формат файлів VHDX замість формату файлів VHD, який мав ряд обмежень. За замовчуванням Disk2vhd збирається створити окремі файли для кожного фізичного диска, але розмістити розділи в одному файлі. Якщо ви просто плануєте прикріпити цей файл VHD до іншої віртуальної машини, або навіть просто встановити її на звичайному комп'ютері Windows, ви можете зняти прапорці з списку, які вам не потрібні. Якщо ви плануєте зробити віртуальну машину з неї, ви, ймовірно, повинні залишити все перевірено.

    Вихідний файл VHD може бути фактично розміщений на тому самому диску, на якому ви робите копію, але ми рекомендуємо використовувати другий диск, якщо це можливо, лише щоб зробити все швидше.

    PageDefrag є застарілим

    Ця утиліта дозволила вам дефрагментувати системні файли під час завантаження, але оскільки вона не працює на останніх версіях Windows, її слід пропустити.

    Синхронізація записує кешовані дані на ваш диск

    Ця утиліта просто синхронізує всі кешовані дані на диск, щоб переконатися, що всі зміни файлів записуються на диск і не зберігаються в якомусь буфері. Звичайно, ви повинні використовувати опцію "Безпечне видалення" кожного разу, якщо ви хочете бути впевненими, що ви не втратите дані під час витягування флеш-пам'яті.

    Диск-монітор показує реальну активність жорсткого диска

    Ця утиліта показує реальну діяльність жорсткого диска, що відбувається в реальному часі - сектори, читає, записує, довжина даних, все це є. Єдина проблема полягає в тому, що вона не дуже корисна для більшості людей.

    Дещо більш корисним, можливо, є монітор диска “Light Tray Disk”, який можна вибрати з меню Options. Після ввімкнення цього режиму він перейде в системний трей і блимає червоним для записів, зелений для читання або залишиться сірим, коли нічого не відбувається.

    Якби тільки іконка відповіла Windows 8 трохи краще.

    VolumeID Змінює серійний номер диска

    Ви коли-небудь помітили, як кожен привід має серійний номер, який виглядає як 064B-1E81 або щось нецікаво? Якщо ви хочете змінити цей серійний номер на щось більш цікаве, це можна зробити, використовуючи утиліту VolumeID з цим синтаксисом:

    XXXX-XXXX

    Зверніть увагу, що синтаксис вимагає використання шістнадцяткових символів, тому ви не можете вводити в GEEK-1337, як ми, тому що він просто не працюватиме.

    Наступний урок

    Завтра ми збираємося завершити серію, подивившись на деякі маленькі утиліти, які ми пропустили, а також деякі вказівки щодо використання всіх інструментів разом, і коли ви повинні витягнути кожен інструмент.