Hemsida » skola » Analysera och hantera dina filer, mappar och enheter

    Analysera och hantera dina filer, mappar och enheter

    Vi är nästan färdiga med vår Geek School-serie på SysInternals verktyg, och idag ska vi prata om alla verktyg som hjälper dig att hantera filer och mappar - oavsett om du hittar dolda data eller säkert raderar en fil.

    SCHOOL NAVIGATION
    1. Vad är SysInternals Tools och hur använder du dem?
    2. Förstå Process Explorer
    3. Använda Process Explorer för att felsöka och diagnostisera
    4. Förstå Process Monitor
    5. Använda Process Monitor för att felsöka och hitta registerhackar
    6. Använda Autoruns att hantera startprocesser och skadlig kod
    7. Använda BgInfo för att visa systeminformation på skrivbordet
    8. Använda PsTools för att styra andra datorer från kommandoraden
    9. Analysera och hantera dina filer, mappar och enheter
    10. Förpackning och användning av verktygen tillsammans

    Det finns en hel del verktyg i verktygslådan som hanterar alla slags saker som är relaterade till filer eller mappar eller att hitta data som du inte visste var där, och det finns några som är lite på den dumma sidan. Hur som helst kommer vi att täcka dem alla.

    De viktigaste filrelaterade verktygen i satsen för att lära känna är förmodligen Sigcheck and Streams utilities, men det vore klokt att läsa igenom dem noggrant.

    Strömmar finner och visar dolda NTFS-strömmar

    De flesta människor vet inte om den här funktionen, men Windows låter dig lagra data i ett dolt fack i filsystemet som heter alternativa dataströmmar. Detta fungerar i princip genom att lägga till ett kolon och en unik nyckel till slutet av ett filnamn när det interagerar med det.

    Om du till exempel vill gömma vissa data i en fil kan du göra något liknande echo Secret> filename.txt: hiddenstuff och även om du öppnade upp den textfilen i anteckningsblocket så skulle du inte se den "hemliga" texten som du lagt till, och det skulle inte finnas något annat sätt att veta att det var ens där. Faktum är att du kan göra nästan vad du vill använda den här tekniken. (Se till att läsa vår artikel om ämnet för fullständig förklaring).

    Det här är också tekniken som tillåter Windows att magiskt veta att filer har laddats ner från internet, genom att dölja data inom området Zone.Identifier. Faktum är att du kan radera den här alternativa dataströmmen med hjälp av Streams-verktyget.

    Syntaxen är enkel - för att se strömmarna skriver du följande vid prompten:

    strömmar

    Du kan också använda "streams * .exe" eller något liknande för att se alla filer med dolda strömdata, om det finns några. Det snabbaste sättet att se något är att gå in i din nedladdningsmapp och köra den där.

    För att radera en av strömmarna eller många av dem kan du använda alternativet -d:

    strömmar -d

    Du kan också använda alternativet -s för att gå in i underkataloger rekursivt.

    SigCheck analyserar filer som inte är digitalt signerade (som skadlig kod)

    Det här mycket användbara verktyget analyserar digitala signaturer för filer på ditt system och berättar om de är giltiga eller saknar ett certifikat. Du kan också använda den för att kontrollera filer mot VirusTotal från kommandoraden, vilket är bekvämt, eftersom det är den verkliga meningen med det här verktyget, är att hitta skadlig kod.

    Den normala och mest användbara syntaxen är att lägga till -u-omkopplaren, som endast rapporterar problem, och -e-omkopplaren, som endast kontrollerar körbara filer. Så du kan köra något så här för att kolla din system32-katalog och se till att alla filer finns digitalt signerade. Allt annat bör granskas mycket noggrant.

    sigcheck -e -u C: \ Windows \ System32

    Du kan också använda -v-alternativet för en extra kontroll mot VirusTotal, men du måste använda -vt första gången för att acceptera deras villkor.

    sigcheck -v-vt

    SDelete tar bort filer på ett säkert sätt

    Om du är den paranoida typen, kommer du vara glad att veta att du kan torka filer säkert från kommandoraden när som helst du vill. Använd bara verktyget sdelete för att kasta filen med DoD-kompatibla raderingsprotokoll. (Naturligtvis har NSA förmodligen fortfarande en kopia av din fil). Syntaxen är enkel:

    sdelete

    Du kan alternativt rengöra ledigt utrymme på en enhet med hjälp av sdelete -c alternativ, vilket kommer att ta längre tid men är ett bra alternativ om du glömde att använda sdelete för att ta bort filen i första hand.

    Contig Defragments En eller många enskilda filer

    Om du vill defragmentera bara en enda fil eller en lista med filer kan du använda Contig-verktyget för att göra just det. Visst behöver du verkligen inte defragmentera filer i moderna versioner av Windows som gör det automatiskt. Och ja, om du använder en solid state-enhet bör du aldrig defragmentera eller behöver du. Men om du absolut, positivt, måste defragmentera en enda fil, är det verktyget att göra det. Syntaxen är enkel:

    contig

    Om du vill analysera fragmenteringen av en fil utan att göra något, kan du använda -a-omkopplaren som visas nedan:

    Det är värt att notera att även om en fil är fragmenterad, om filen är väldigt stor och bara är uppdelad i några stora bitar, får du i princip ingenting från defragmentering och kommer att ha slösat bort mer tid att störa med det än du skulle spara.

    du visar diskanvändning

    Du kan alltid bara högerklicka på någon fil eller mapp i Utforskaren och välja Egenskaper, eller använd ALT + ENTER-tangentbordsgenväg för att se storleken på en fil eller mapp. Men vad händer om du vill se den data från kommandotolken? Det är där verktyget du kommer in, och det är också lite mer korrekt eftersom det inte räknar symboliska länkade filer, och det kontrollerar också alternativa dataströmmar.

    Alternativet -n kontrollerar endast en enda mapp utan att återvända till underkataloger, medan -v-alternativet recursar och visar varje katalog samtidigt som den går igenom listan, och alternativet -l (n) kontrollerar bara "n" -nivåerna djupt. Som i, -l 2 skulle kontrollera 2 nivåer djupt.

    PendMoves visar filer som går vidare till nästa omstart

    Har du någonsin undrat varför programinstallationer gör att du startar om datorn? Svaret är vanligtvis att de vill flytta några filer runt som inte kan flyttas runt medan Windows körs, så de använder en inbyggd Windows-funktion som hanterar flyttning eller radering av filer vid omstart.

    Det enda du behöver göra är att köra kommandot, och det kommer att mata ut data. Varför är en kopia av Process Explorer planerad att flytta till Windows-mappen vid nästa omstart? Läs vidare.

    MoveFiles flyttar systemfiler när du startar om

    Det här verktyget använder den inbyggda Windows-funktionen för att schemalägga ett drag, radera eller byta namn på en fil eller katalog så att den kommer att hända under nästa omstartcykel innan Windows är fullt laddad. Syntaxen är väldigt enkel:

    movefile

    Om du vill ta bort en fil kan du använda en tom destination med citat, som movefile "". Som du kan se på skärmdumpen nedan använde vi kommandot Movefile för att schemalägga en kopia av processutforskare som flyttas till Windows-katalogen för att illustrera hur allt fungerar.

    Junction skapar symboliska länkar

    Windows stöder symboliska länkar för filer och mappar, så att du kan ha mer än en sökväg till samma fil för att spara utrymme istället för att ha flera kopior av en fil. Tanken liknar genvägar, förutom att detta är på filsystemnivå och inbyggt i NTFS.

    Med verktyget Junction kan du enkelt skapa och ta bort dessa länkar. Du kan också ta bort dem med korsning -d .

    korsning

    Verkligheten är emellertid att Windows sedan Vista har haft möjlighet att skapa symlinks med kommandot mklink, och du kan lika bra använda den här istället.

    FindLinks hittar hårda länkar till filer

    Det här lilla verktyget hittar alla hårda länkar som pekar på en fil. Hårda länkar skiljer sig från symboliska länkar genom att radering av en hård länk faktiskt inte tar bort filen om det finns mer hårda länkar till den filen, det verkar bara radera det tills du har raderat alla de hårda länkarna. När du har raderat den slutliga hårda länken kommer filen att raderas.

    Notera: Det här kan faktiskt vara ett intressant sätt att se till att en viss fil inte verkligen raderas av någon som har vana att radera filer. Bara skapa en hård länk till alla filer som du inte vill att de ska förlora.

    I vilket fall som helst kan du använda det här kommandot enkelt nog:

    findlinks

    Det enda problemet är att Windows 7 och 8 har ett inbyggt kommando som gör samma sak. Använd den här istället:

    fsutil hardlink lista

    Notera: Det är alltid bättre att lära sig att använda de inbyggda grejerna när det är möjligt, för att du aldrig vet när du behöver göra någonting på någon annans dator när du inte har din verktygslåda.

    DiskView visar diskstruktur

    Med det här verktyget kan du se strukturen på hårddisken i detalj och du kan även zooma hela vägen och välja en fil för att markera i listan så att du kan se var en viss fil finns på enheten och också se om det är fragmenterat eller inte. Det är inte hemskt användbart för de flesta, men förhoppningsvis har du ett scenario där du kanske behöver använda den.

    Disk2vhd aktiverar datorer i virtuella hårddiskar

    Det här verktyget skapar en klon på datorns hårddisk medan den körs, och bunter allt till en virtuell hårddiskfil som kan användas i en virtuell maskin. Och det gör detta medan datorn körs.

    Det är rätt, du kan skapa en virtuell maskin på din hårddisk medan din dator körs. Detta kan också vara till stor hjälp för scenarier där du vill göra en viss rättsmedicinsk analys av en maskin, men på din egen dator - du kan bara skapa en klon och sedan starta den som en virtuell maskin istället.

    Alternativet för Vhdx berättar Disk2vhd att använda det nyare VHDX-filformatet istället för VHD-filformatet, vilket hade ett antal begränsningar. Disk2vhd kommer som standard att skapa separata filer för varje fysisk enhet, men sätt partitioner i samma fil. Om du bara planerar att bifoga den här VHD-filen till en annan virtuell maskin, eller till och med bara montera den på en vanlig Windows-dator, kan du avmarkera partitioner som du inte behöver i listan. Om du planerar att göra en virtuell maskin ur den, borde du troligen lämna allt kontrollerat.

    VHD-utdatafilen kan faktiskt placeras på samma enhet som du kopierar, men vi rekommenderar att du använder en andra enhet om möjligt bara för att få allt att gå snabbare.

    PageDefrag är föråldrad

    Med det här verktyget kan du defragmentera systemfiler under uppstart, men eftersom det inte fungerar på de senaste versionerna av Windows, ska du hoppa över det.

    Synkronisering skriver cachade data till din disk

    Det här verktyget synkroniserar helt enkelt alla cachade data ut till disken för att se till att alla filändringar skrivs till enheten och inte lagras i någon buffert någonstans. Självklart bör du använda alternativet Säker borttagning varje gång om du vill vara säker på att du inte kommer att förlora data när du tar en flash-enhet.

    Diskskärmen visar dig realtids hårddiskaktivitet

    Det här verktyget visar att den verkliga hårddiskaktiviteten händer i realtid - sektorer, läser, skriver, längden på data, det är allt där. Det enda problemet är att det inte är fruktansvärt användbart för de flesta.

    Vad är lite mer användbart, kanske är diskövervakningen "Fackdiskljus" som du kan välja från alternativmenyn. När du har aktiverat det läget kommer det att gå in i systemfältet och blinka rött för att skriva, grönt för att läsa eller vara grått när inget händer.

    Om bara ikonen matchade Windows 8 lite bättre.

    VolumeID Ändrar enhetens serienummer

    Har du någonsin märkt hur varje enhet har ett serienummer som ser ut som 064B-1E81 eller något lika ointressant? Om du vill ändra det här serienumret till något roligare kan du göra det genom att använda VolumeID-verktyget med den här syntaxen:

    volymen XXXX-XXXX

    Observera att syntaxen kräver att du använder hexadecimala tecken, så du kan inte skriva in GEEK-1337 som vi gjorde, för att det bara inte fungerar.

    Nästa lektion

    I morgon kommer vi att pakka upp serierna med en titt på några av de små verktyg som vi saknade, liksom några tips om hur du använder alla verktyg tillsammans, och när du ska dra ut varje verktyg.