Analysere og administrere dine filer, mapper og drev

Vi er næsten færdige med vores Geek School-serie på SysInternals værktøjer, og i dag kommer vi til at tale om alle de værktøjer, der hjælper dig med at håndtere filer og mapper - uanset om du finder skjulte data eller sikkert sletter en fil.

SCHOOL NAVIGATION

1. Hvad er SysInternals Tools og hvordan bruger du dem?
2. Forstå Process Explorer
3. Brug af Process Explorer til fejlfinding og diagnosticering
4. Forståelse Process Monitor
5. Brug Procesovervågning til Fejlfinding og Find Registry Hacks
6. Brug Autoruns til at håndtere opstartsprocesser og malware
7. Brug af BgInfo til at vise systemoplysninger på skrivebordet
8. Brug af PsTools til at styre andre pc'er fra kommandolinjen
9. Analysere og administrere dine filer, mapper og drev
10. Indpakning og brug af værktøjerne sammen

Der er en hel del værktøjer i værktøjssætet, der beskæftiger sig med alle mulige ting, der er relateret til filer eller mapper eller at finde data, som du ikke vidste var der, og der er nogle få der er lidt på den dumme side. Uanset hvad vi dækker dem alle.

De vigtigste filrelaterede værktøjer i kittet for at lære at vide er sandsynligvis Sigcheck og Streams utilities, men det ville være klogt at læse dem alle omhyggeligt.

Strømme finder og viser skjulte NTFS-streams

De fleste mennesker ved ikke om denne funktion, men Windows giver dig mulighed for at gemme data inde i et skjult rum i filsystemet kaldet alternative datastrømme. Dette virker grundlæggende ved at tilføje et kolon og en unik nøgle til slutningen af ​​et filnavn, når det interagerer med det.

For eksempel, hvis du ønskede at skjule nogle data i en fil, kunne du gøre noget lignende ekkoshemmelighed> filnavn.txt: hiddenstuff og selvom du åbnet den tekstfil i notesblok, ville du ikke se den "hemmelige" tekst, du tilføjede, og der ville ikke være nogen anden måde at vide, at det var endda der. Faktisk kan du gøre næsten alt hvad du vil bruge denne teknik. (Sørg for at læse vores artikel om emnet for den fulde forklaring).

Dette er også den teknik, der gør det muligt for Windows at magisk vide, at filer er blevet downloadet fra internettet ved at gemme data inde i feltet Zone.Identifier. Faktisk kan du slette denne alternative datastrøm ved hjælp af strømmen.

Syntaxen er enkel - for at se vandløbene, skriv følgende ved prompten:

streams

Du kan også bruge "streams * .exe" eller noget lignende at se alle filerne med skjulte stream data, hvis der er nogen. Den hurtigste måde at se noget på er at gå ind i din download-mappe og køre den der.

Hvis du vil slette en af ​​strømmen eller mange af dem, kan du bruge indstillingen -d:

strømme -d

Du kan også bruge -s mulighed for at gå ind i underkataloger rekursivt.

SigCheck analyserer filer, der ikke er digitalt signeret (som malware)

Denne meget nyttige hjælpeprogram analyserer de digitale signaturer af filer på dit system og fortæller dig, om de er gyldige eller mangler et certifikat. Du kan også bruge den til at kontrollere filer mod VirusTotal fra kommandolinjen, hvilket er praktisk, fordi det er det virkelige punkt i dette værktøj, er at finde malware.

Den normale og mest nyttige syntaks er at tilføje -u-kontakten, som kun rapporterer problemer, og -e-kontakten, som kun kontrollerer eksekverbare filer. Så du kan køre noget som dette for at tjekke din system32-mappe og sørge for, at alle filerne er digitalt signerede. Alt andet bør undersøges meget nøje.

sigcheck -e -u C: \ Windows \ System32

Du kan også bruge -v-optionen til en ekstra check mod VirusTotal, men du skal bruge -vt-funktionen første gang for at acceptere deres vilkår og betingelser.

sigcheck -v-vt

SDelete sletter filer sikkert

Hvis du er den paranoide type, vil du være glad for at vide, at du sikkert kan tørre filer fra kommandolinjen, når du vil. Brug blot sdelete-hjælpeprogrammet til at banke filen med DoD-kompatible sletningsprotokoller. (Selvfølgelig har NSA formentlig stadig en kopi af din fil). Syntaxen er enkel:

sdelete

Du kan alternativt rense det ledige rum på et drev ved at bruge sdelete -c valgmulighed, hvilket vil tage længere tid, men det er en god mulighed, hvis du har glemt at bruge sdelete til at fjerne filen i første omgang.

Contig Defragments En eller mange individuelle filer

Hvis du kun vil defragmentere en enkelt fil eller en liste over filer, kan du bruge Contig-værktøjet til at gøre netop det. Sikker på, du behøver ikke rigtig at defragmentere filer i moderne versioner af Windows, der gør det automatisk. Og ja, hvis du bruger et solid state-drev, skal du aldrig defragmentere eller behøver du. Men hvis du absolut, positivt, skal defragmentere en enkelt fil, er det nyttigt at gøre det. Syntaxen er enkel:

contig'en

Hvis du vil analysere fragmenteringen af ​​en fil uden faktisk at gøre noget, kan du bruge -a-switchen som vist nedenfor:

Det er værd at bemærke, at selv om en fil er fragmenteret, hvis filen er meget stor og kun opdeles i et par store stykker, får du i det væsentlige intet fra defragmentering og vil have spildt mere tid forstyrrer det end du ville spare.

du viser diskbrug

Du kan altid bare højreklikke på en fil eller en mappe i Windows Stifinder og vælge Egenskaber eller bruge ALT + ENTER-tastaturgenvejen for at se størrelsen på en fil eller mappe. Men hvad nu hvis du vil se dataene fra kommandoprompten? Det er her, hvor du kommer ind, og det er også lidt mere præcist, fordi det ikke tæller symbolsk linkede filer, og det tjekker også alternative datastrømme.

Funktionen -n kontrollerer kun en enkelt mappe uden at genvinde i undermapper, mens -v-opsætningen genbruger og viser også hver mappe, som den går gennem listen, og -l (n) -tilvalget kun kontrollerer "n" -niveauerne dybt. Som i, ville 2 kontrollere 2 niveauer dybt.

PendMoves Viser filer, der flytter til næste genstart

Har du nogensinde spekuleret på, hvorfor applikationsinstallationer gør det muligt at genstarte din computer? Svaret er normalt, at de vil flytte nogle filer rundt, der ikke kan flyttes, mens Windows kører, så de bruger en indbygget Windows-funktion, der håndterer at flytte eller slette filer ved genstart.

Det eneste du skal gøre er at køre kommandoen, og det vil output dataene. Hvorfor planlægges en kopi af Process Explorer at flytte ind i Windows-mappen ved den næste genstart? Læs videre.

MoveFiles flytter systemfiler, når du genstarter

Dette hjælpeprogram bruger den indbyggede Windows-funktion til at planlægge et flyt, slette eller omdøbe en fil eller mappe, så det vil ske under den næste genstartcyklus, før Windows er fuldt indlæst. Syntaxen er virkelig enkel:

MoveFile

Hvis du vil slette en fil, kan du bruge en tom destination ved at bruge citater, som f.eks movefile "". Som du kan se på skærmbilledet nedenfor, brugte vi Movefile-kommandoen til at planlægge en kopi af procesopdagelsesprogrammer, der skal flyttes til Windows-mappen for at illustrere, hvordan det hele virker.

Junction skaber symbolske links

Windows understøtter symbolske links til filer og mapper, så du kan have mere end et stipunkt til den samme fil for at spare plads i stedet for at have flere kopier af en fil. Ideen ligner genveje, undtagen dette er på filsystemniveau og indbygget i NTFS.

Junction-værktøjet giver dig mulighed for nemt at oprette og slette disse links. Du kan også slette dem ved hjælp af kørsel -d .

junction

Virkeligheden er imidlertid, at Windows siden Vista har haft evnen til at oprette symlinks med mklink-kommandoen, og du kan lige så godt bruge den ene i stedet.

FindLinks finder hårde links til filer

Denne lille hjælpeprogram finder alle de hårde links, der peger på en fil. Hårde links er forskellige fra symbolske links, fordi sletning af et hardt link slet ikke sletter filen, hvis der er flere hårde links til den pågældende fil. Det ser ud til at slette det, indtil du har slettet alle de hårde links. Når du sletter det endelige hårde link, slettes filen.

Bemærk: Dette kunne faktisk være en interessant måde at sikre, at en bestemt fil slet ikke er slettet af nogen, der har vane med at slette filer. Bare lav et hardt link til alle de filer, du ikke vil have, at de taber.

Under alle omstændigheder kan du bruge denne kommando nemt nok:

findlinks

Det eneste problem er, at Windows 7 og 8 har en indbygget kommando, der gør det samme. Brug denne i stedet:

fsutil hardlink liste

Bemærk: Det er altid bedre at lære at bruge de indbyggede ting, når det er muligt, fordi du aldrig ved, hvornår du skal gøre noget på en andens computer, når du ikke har din værktøjskasse.

DiskView Viser Diskstruktur

Dette værktøj giver dig mulighed for at se strukturen på din harddisk i detaljer, og du kan endda zoome helt ind og vælge en fil, der skal fremhæves på listen, så du kan se, hvor en bestemt fil er på drevet, og også se om det er fragmenteret eller ej. Det er ikke frygteligt nyttigt for de fleste mennesker, men forhåbentlig har du et scenario, hvor du måske skal bruge det.

Disk2vhd skifter pc'er til virtuelle harddiske

Dette værktøj skaber en klon på computerens harddisk, mens den kører, og bundter det hele sammen til en Virtual Hard Drive-fil, der kan bruges i en virtuel maskine. Og det gør det mens pc'en kører.

Det er rigtigt, du kan oprette en virtuel maskine på din harddisk, mens din computer kører. Dette kan også være meget nyttigt for scenarier, hvor du vil gøre nogle retsmedicinske analyser af en maskine, men på din egen computer - du kan bare oprette en klon og derefter starte den som en virtuel maskine i stedet.

Muligheden for Vhdx fortæller Disk2vhd at bruge det nyere VHDX-filformat i stedet for VHD-filformatet, som havde en række begrænsninger. Som standard skal Disk2vhd oprette separate filer til hvert fysisk drev, men sæt partitioner i samme fil. Hvis du simpelthen planlægger at vedhæfte denne VHD-fil til en anden virtuel maskine eller endda bare montere den på en almindelig Windows-computer, kan du fjerne markeringen af ​​partitioner, som du ikke behøver på listen. Hvis du planlægger at lave en virtuel maskine ud af det, skal du sandsynligvis forlade alt kontrolleret.

VHD-uddatafilen kan faktisk placeres på det samme drev, som du laver en kopi af, men vi vil anbefale at bruge et andet drev, hvis det er muligt, bare for at gøre det hele gå hurtigere.

PageDefrag er forældet

Dette værktøj tillod dig at defragmentere systemfiler under opstart, men da det ikke virker på nyere versioner af Windows, skal du springe over det.

Synkronisering skriver cachelagrede data til din disk

Dette værktøj synkroniserer simpelthen alle cachelagrede data ud til disken for at sikre, at alle filændringer er skrevet til drevet og ikke gemt i noget buffer et sted. Selvfølgelig skal du bruge funktionen Sikker fjernelse hver gang, hvis du vil være sikker på, at du ikke vil miste data, når du trækker en flashdrev.

Disk Monitor viser dig Real-Time harddisk aktivitet

Dette værktøj viser den faktiske harddiskaktivitet der sker i realtid - sektorer, læser, skriver, længden af ​​dataene, det er alle der. Det eneste problem er, at det ikke er frygteligt nyttigt for de fleste mennesker.

Hvad er lidt mere nyttigt, måske er diskovervågningen "Bakke Disk Light", som du kan vælge fra menuen Indstillinger. Når du har aktiveret denne tilstand, vil den flytte ind i proceslinjen og blinke rødt for at skrive, grøn for at læse eller blive grå, når der ikke sker noget.

Hvis kun ikonet matchede Windows 8 lidt bedre.

VolumeID Ændrer drevets serienummer

Har du nogensinde bemærket, hvordan hvert drev har et serienummer, der ligner 064B-1E81 eller noget lige så uinteressant? Hvis du vil ændre dette serienummer til noget mere sjovt, kan du gøre det ved at bruge VolumeID-hjælpeprogrammet med denne syntaks:

volumen XXXX-XXXX

Bemærk, at syntaksen kræver brug af hexadecimale tegn, så du kan ikke skrive i GEEK-1337 som vi gjorde, fordi det bare ikke virker.

Næste lektion

I morgen skal vi pakke op i serien med et kig på nogle af de små værktøjer, vi savnede, samt nogle vejledning om at bruge alle værktøjerne sammen, og når du skal trække hvert værktøj ud.