Mājas lapa » skolā » Failu, mapju un disku analīze un pārvaldīšana

    Failu, mapju un disku analīze un pārvaldīšana

    Mēs esam gandrīz paveikuši ar mūsu Geek skolas sēriju SysInternals rīkos, un šodien mēs runāsim par visiem komunālajiem pakalpojumiem, kas palīdzēs jums risināt failus un mapes - vai atrodat slēptos datus vai droši izdzēšat failu.

    SKOLAS NAVIGĀCIJA
    1. Kādi ir SysInternals rīki un kā tos lietojat?
    2. Process Explorer izpratne
    3. Process Explorer izmantošana, lai novērstu un diagnosticētu
    4. Procesa monitora izpratne
    5. Procesa monitora izmantošana, lai novērstu un atrastu reģistra sistēmas
    6. Izmantojot Autoruns, lai risinātu palaišanas procesus un ļaunprātīgu programmatūru
    7. BgInfo izmantošana sistēmas informācijas parādīšanai darbvirsmā
    8. PsTools izmantošana citu datoru vadīšanai no komandrindas
    9. Failu, mapju un disku analīze un pārvaldīšana
    10. Rīku apvienošana un lietošana kopā

    Rīkjoslā ir diezgan maz komunālo pakalpojumu, kas nodarbojas ar visu veidu lietām, kas ir saistītas ar failiem vai mapēm vai atrodot datus, kurus jūs nezināt, un tur ir daži, kas ir mazliet dumjš. Katrā ziņā mēs tos aptveram.

    Svarīgākie ar rīku saistītie rīku komplekti, lai uzzinātu, iespējams, ir Sigcheck un Streams komunālie pakalpojumi, bet būtu prātīgi tos visus izlasīt uzmanīgi.

    Plūsmas atrod un parāda slēptās NTFS plūsmas

    Lielākā daļa cilvēku nezina par šo funkciju, bet Windows ļaus saglabāt datus slēptajā nodalījumā failu sistēmā, ko sauc par alternatīvām datu plūsmām. Tas būtībā darbojas, pievienojot resnās zarnas un unikālu atslēgu faila nosaukuma galam, kad lietojat to.

    Piemēram, ja vēlaties failu slēpt dažus datus, jūs varētu darīt kaut ko līdzīgu echo Secret> filename.txt: slēpts un pat ja jūs atvērtu šo teksta failu Notepad, jūs neredzēsit “Secret” tekstu, ko pievienojāt, un nebūtu citu veidu, kā zināt, ka tas bija pat tur. Faktiski, jūs varat darīt gandrīz visu, ko vēlaties, izmantojot šo tehniku. (Noteikti izlasiet mūsu rakstu par šo tēmu, lai iegūtu pilnīgu skaidrojumu).

    Tā ir arī tehnika, kas ļauj Windows maģiski zināt, ka faili ir lejupielādēti no interneta, slēpjot datus Zone.Identifier laukā. Faktiski, jūs varat izdzēst šo alternatīvo datu plūsmu, izmantojot programmu Streams.

    Sintakse ir vienkārša - lai redzētu plūsmas, uzvednē ierakstiet sekojošo:

    plūsmas

    Varat arī izmantot “streams * .exe” vai kaut ko līdzīgu, lai redzētu visus failus ar slēpto plūsmu datiem, ja tādi ir. Ātrākais veids, kā redzēt kaut ko, ir doties uz jūsu lejupielādes direktoriju un palaist to tur.

    Lai dzēstu kādu no plūsmām vai daudzām no tām, varat izmantot opciju -d:

    plūsmas -d

    Varat arī izmantot -s opciju, lai atgrieztos apakšdirektorijās rekursīvi.

    SigCheck analizē failus, kas nav digitāli parakstīti (piemēram, ļaunprātīga programmatūra)

    Šī ļoti noderīgā lietderība analizē jūsu sistēmā esošo failu digitālos parakstus un informē, vai tie ir derīgi vai trūkst sertifikāta. Varat arī to izmantot, lai pārbaudītu failus no VirusTotal no komandrindas, kas ir ērti, jo tas ir šī rīka patiesais punkts, ir atrast ļaunprātīgu programmatūru.

    Parastā un visnoderīgākā sintakse ir pievienot -u slēdzi, kas ziņo tikai par problēmām, un slēdzi -e, kas tikai pārbauda izpildāmos failus. Tātad jūs varētu palaist kaut ko līdzīgu, lai pārbaudītu jūsu sistēmas32 direktoriju un pārliecinātos, ka visi faili ir digitāli parakstīti. Viss cits ir rūpīgi jāpārbauda.

    sigcheck -e -u C: Windows System32

    Varat arī izmantot -v opciju papildu pārbaudei pret VirusTotal, bet jums būs jāizmanto -vt opcija pirmo reizi, lai pieņemtu viņu noteikumus un nosacījumus.

    sigcheck -v -vt

    SDelete droši dzēš failus

    Ja esat paranoisks, jūs būsiet priecīgi uzzināt, ka jūs varat droši noslaucīt failus no komandrindas jebkurā laikā. Vienkārši izmantojiet utilītu sdelete, lai dublētu failu ar DoD atbilstošiem dzēšanas protokoliem. (Protams, NSA, iespējams, joprojām ir sava faila kopija). Sintakse ir vienkārša:

    sdelete

    Varat arī tīrīt disku brīvo vietu, izmantojot sdelete -c opcija, kas aizņems ilgāku laiku, bet ir laba iespēja, ja esat aizmirsis izmantot sdelete, lai vispirms noņemtu failu.

    Contig Defragments Viens vai vairāki individuālie faili

    Ja vēlaties defragmentēt tikai vienu failu vai failu sarakstu, varat izmantot Contig lietderību, lai to izdarītu. Protams, jums nav nepieciešams defragmentēt failus mūsdienu Windows versijās, kas to dara automātiski. Un jā, ja jūs izmantojat cietā diska disku, jums nekad nevajadzētu defragmentēt, kā arī jums nav nepieciešams. Bet, ja jums absolūti, pozitīvi ir jāizdala viens fails, tas ir lietderība to darīt. Sintakse ir vienkārša:

    contig

    Ja vēlaties analizēt faila fragmentāciju, faktiski neko nedarot, varat izmantot a slēdzi, kā parādīts zemāk:

    Ir vērts atzīmēt, ka, pat ja fails ir sadrumstalots, ja fails ir ļoti liels un ir sadalīts tikai dažos lielos gabalos, jūs iegūsiet būtībā neko no defragmentēšanas un būs izšķērdēts vairāk laika, kas traucēs ar to, nekā jūs ietaupītu.

    du Rāda diska lietošanu

    Jūs vienmēr varat vienkārši ar peles labo pogu noklikšķināt uz jebkura faila vai mapes programmā Windows Explorer un izvēlēties Rekvizīti vai izmantot tastatūras īsinājumtaustiņu ALT + ENTER, lai redzētu faila vai mapes lielumu. Bet kas notiks, ja vēlaties redzēt šos datus no komandrindas? Tādā veidā nāk du lietderība, un tas ir arī nedaudz precīzāks, jo tas nesatur simboliskus saistītus failus, un tas arī pārbauda alternatīvās datu plūsmas..

    Opcija -n pārbauda tikai vienu mapi, nepārveidojot to apakšdirektorijās, bet -v opcija atkārtojas, kā arī parāda katru direktoriju, kad tā iet cauri sarakstam, un -l (n) opcija pārbauda tikai „n” līmeņus dziļi. Tāpat kā, l-2 pārbaudītu 2 līmeņus dziļi.

    PendMoves parāda failus, kas pārvietojas uz nākamo pārstartēšanu

    Vai esat kādreiz domājuši, kāpēc lietojumprogrammu instalēšana liek jums pārstartēt datoru? Atbilde parasti ir tā, ka viņi vēlas pārvietot dažus failus, kurus nevar pārvietot, kamēr darbojas Windows, tāpēc viņi izmanto iebūvētu Windows funkciju, kas apstrādā failu pārvietošanu vai dzēšanu atsāknēšanas laikā.

    Vienīgā lieta, kas jums jādara, ir palaist komandu, un tas izdos datus. Kāpēc ir plānots, ka procesa pārlūkprogrammas kopija tiks pārvietota uz Windows mapi nākamajā atsāknēšanas reizē? Turpini lasīt.

    MoveFiles pārvieto sistēmas failus, kad jūs restartējat

    Šī utilīta izmanto iebūvēto Windows funkciju, lai ieplānotu faila vai direktorijas pārvietošanu, dzēšanu vai pārdēvēšanu tā, lai tā notiktu nākamajā atsāknēšanas ciklā, pirms sistēma Windows būs pilnībā ielādēta. Sintakse ir ļoti vienkārša:

    pārvietot

    Ja vēlaties dzēst failu, varat izmantot tukšu galamērķi, izmantojot citātus, piemēram, movefile “”. Kā redzat zemāk redzamajā ekrānuzņēmumā, mēs izmantojām Movefile komandu, lai ieplānotu procesa pētnieka kopiju, kas jāpārvieto uz Windows direktoriju, lai ilustrētu, kā tas viss darbojas.

    Junction izveido simboliskas saites

    Windows atbalsta simboliskas saites failiem un mapēm, lai jūs varētu būt vairāki ceļi, kas norādītu uz to pašu failu, lai ietaupītu vietu, nevis vairākus faila eksemplārus. Ideja ir līdzīga īsinājumtaustiņiem, izņemot to, ka tas ir failu sistēmas līmenī un ir iebūvēts NTFS.

    Junction lietderība ļauj jums izveidot un dzēst šīs saites. Varat arī izdzēst tos, izmantojot krustojums -d .

    krustojumam

    Tomēr realitāte ir tāda, ka sistēma Windows kopš Vista ir spējusi radīt simbolu ar komandu mklink, un jūs varat to izmantot arī.

    FindLinks atrod cietās saites uz failiem

    Šī mazā utilīta atrod visas cietās saites, kas norāda uz failu. Cietās saites atšķiras no simboliskajām saitēm, jo ​​vienas cietās saites dzēšana faktiski neizdzēš failu, ja ir vairāk cieto saišu uz šo failu, tas tikai izdzēš to, kamēr neesat izdzēsis visas cietās saites. Kad esat izdzēsis pēdējo cieto saiti, fails tiks dzēsts.

    Piezīme: tas faktiski varētu būt interesants veids, kā pārliecināties, ka kāds fails nav īsti izdzēsts kādam, kam ir ieradums dzēst failus. Vienkārši izveidojiet cieto saiti uz visiem failiem, kurus nevēlaties, lai tie zaudētu.

    Jebkurā gadījumā šo komandu var viegli izmantot:

    findlinks

    Vienīgā problēma ir tā, ka Windows 7 un 8 ir iebūvēta komanda, kas dara to pašu. Izmantojiet šo:

    fsutil hardlink saraksts

    Piezīme: Vienmēr labāk ir iemācīties izmantot iebūvēto stuff, kad vien tas ir iespējams, jo jūs nekad nezināt, kad jums kaut kas būs jādara kādam citam datoram, ja jums nav jūsu rīkkopa.

    DiskView parāda diska struktūru

    Šī utilīta ļauj detalizēti apskatīt jūsu cietā diska struktūru, un jūs pat varat pietuvināt visu ceļu un izvēlēties failu, kas jāizceļ sarakstā, lai jūs varētu redzēt, kur konkrētais fails atrodas diskdzinī, kā arī redzēt, vai tas ir sadrumstalots vai nē. Tas nav ārkārtīgi noderīgs vairumam cilvēku, bet, cerams, jums ir scenārijs, kur jums var būt nepieciešams to izmantot.

    Disk2vhd pārvērš datorus virtuālajos diskos

    Šī lietderība rada datora cietā diska klonu, kamēr tā darbojas, un apvieno to visu virtuālā cietā diska failā, ko var izmantot virtuālajā mašīnā. Un tas tiek darīts, kamēr darbojas dators.

    Tas ir pareizi, jūs varat izveidot jūsu cietā diska virtuālo mašīnu, kamēr dators darbojas. Tas varētu būt patiešām noderīgi scenārijiem, kuros vēlaties veikt kādu mašīnas tiesu analīzi, bet gan savā datorā - jūs varētu vienkārši izveidot klonu un pēc tam to startēt kā virtuālo mašīnu.

    Vhdx opcija liek Disk2vhd izmantot jaunāko VHDX faila formātu VHD faila formāta vietā, kam bija vairāki ierobežojumi. Pēc noklusējuma Disk2vhd katram fiziskajam diskam izveidos atsevišķus failus, bet nodod tos vienā failā. Ja jūs vienkārši plānojat pievienot šo VHD failu citai virtuālajai mašīnai vai pat vienkārši uzmontēt to parastajā Windows datorā, varat noņemt atzīmes starpsienām, kas nav nepieciešamas sarakstā. Ja plānojat no tā izveidot virtuālo mašīnu, visticamāk atstāt visu pārbaudīto.

    VHD izejas failu faktiski var novietot uz tā paša diska, ko veicat, bet mēs iesakām, ja iespējams, izmantot otru disku, lai tas viss būtu ātrāks.

    PageDefrag ir novecojis

    Šī lietderība ļāva jums defragmentēt sistēmas failus boot laikā, bet tā kā tā nedarbojas ar jaunākajām Windows versijām, jums tas ir jāizlaiž.

    Sinhronizācija Kešatmiņā ierakstītos datus ieraksta jūsu diskā

    Šī lietderība vienkārši sinhronizē visus kešatmiņā saglabātos datus uz disku, lai pārliecinātos, ka visas failu izmaiņas ir ierakstītas diskdzinī un netiek glabātas kādā buferī. Protams, ikreiz, kad vēlaties pārliecināties, ka nezaudēsiet datus, velkot zibatmiņu, jums vajadzētu izmantot opciju Droši noņemt.

    Diska monitors parāda reālā laika cieto disku darbību

    Šī lietderība parāda faktisko cietā diska darbību reālajā laikā - nozarēs, lasa, raksta, datu garumu, tas viss ir tur. Vienīgā problēma ir tā, ka tas nav ļoti noderīgs vairumam cilvēku.

    Varbūt nedaudz noderīgāk ir diska pārraudzība “Tray Disk Light”, ko var izvēlēties izvēlnē Options. Kad šis režīms ir iespējots, tas pārvietosies sistēmas teknē un mirgo sarkanā krāsā rakstīšanai, zaļš lasīšanai vai paliek pelēks, kad nekas nenotiek.

    Ja tikai ikona Windows 8 bija nedaudz labāka.

    VolumeID Maina diska sērijas numuru

    Vai esat kādreiz ievērojuši, kā katram diskam ir sērijas numurs, kas izskatās kā 064B-1E81 vai kaut kas tikpat neinteresants? Ja vēlaties nomainīt šo sērijas numuru kaut kas vairāk jautrības, varat to izdarīt, izmantojot šo sintaksi VolumeID lietderība:

    tilpums XXXX-XXXX

    Lūdzu, ņemiet vērā, ka sintaksei nepieciešama heksadecimāla rakstzīmju izmantošana, tāpēc jūs nevarat ierakstīt GEEK-1337, kā mēs to darījām, jo ​​tas vienkārši nedarbosies.

    Nākamā stunda

    Rīt mēs gatavojamies apturēt sēriju, apskatot dažus no mazajiem komunālajiem pakalpojumiem, kurus mēs neatbildējām, kā arī dažus norādījumus par to, kā izmantot visus rīkus kopā, un kad jums vajadzētu izvilkt katru rīku.