Koduleht » koolis » Failide, kaustade ja draivide analüüsimine ja haldamine

    Failide, kaustade ja draivide analüüsimine ja haldamine

    Me oleme peaaegu lõpetanud meie Geek Schooli seeria SysInternals tööriistadega ja täna räägime kõigist kommunaalteenustest, mis aitavad teil faile ja kaustu käsitleda - kas te leiate peidetud andmeid või kustutate faili turvaliselt.

    KOOLI NAVIGATSIOON
    1. Millised on SysInternals'i tööriistad ja kuidas neid kasutate?
    2. Protsessi Exploreri mõistmine
    3. Protsessi Exploreri kasutamine tõrkeotsinguks ja diagnoosimiseks
    4. Protsessimonitori mõistmine
    5. Process Monitori kasutamine registrihäirete tõrkeotsinguks ja leidmiseks
    6. Autorunsi kasutamine käivitusprotsesside ja pahavara käitlemiseks
    7. BgInfo kasutamine süsteemi teabe kuvamiseks töölaual
    8. PsTools kasutamine muude arvutite juhtimiseks käsurealt
    9. Failide, kaustade ja draivide analüüsimine ja haldamine
    10. Tööriistade kokkuklapitamine ja kasutamine koos

    Tööriistakomplektis on üsna vähe utiliite, mis tegelevad igasuguste asjadega, mis on seotud failide või kaustadega või leidnud andmeid, mida sa ei teadnud, ja seal on mõned, mis on rumal poolel vähe. Mõlemal juhul katame need kõik.

    Komplekti kõige olulisemad failivahendid, et saada teada, on tõenäoliselt Sigcheck ja Streams kommunaalteenused, kuid oleks mõistlik neid kõiki hoolikalt lugeda.

    Streams leiab ja kuvab peidetud NTFS-voogusid

    Enamik inimesi ei tea seda funktsiooni, kuid Windows laseb teil salvestada failisüsteemi peidetud sektsiooni, mida nimetatakse alternatiivseteks andmevoogudeks. See toimib põhimõtteliselt käärsoole ja ainulaadse võtme lisamisega failinime lõppu, kui sellega suhtlete.

    Näiteks, kui soovid failis mõningaid andmeid varjata, võiksite midagi sellist teha echo Secret> failinimi.txt: peidetud ja isegi kui te avasite selle tekstifaili Notepadis, ei näe te lisatud „salajase” teksti ja ei oleks muud võimalust teada, et see oli isegi seal. Tegelikult saate seda tehnikat kasutades teha peaaegu kõik, mida soovite. (Lugege kindlasti meie täielikku selgitust käsitlevat artiklit.

    See on ka tehnika, mis võimaldab Windowsil maagiliselt teada, et failid on Internetist alla laaditud, peites välja Zone.Identifier välja. Tegelikult saate selle alternatiivse andmevoo kustutada rakenduse Streams abil.

    Süntaks on lihtne - voogude vaatamiseks tippige järgmised küsimused:

    ojad

    Võite kasutada ka “streams * .exe” või midagi sellist, et näha kõiki varjatud voogandmetega faile, kui neid on. Kiireim viis midagi näha on minna oma allalaadimiste kataloogi ja käivitada see seal.

    Ühe oja või paljude neist kustutamiseks saate kasutada -d valikut:

    ojad -d

    Võite kasutada ka s-võimalust alamkataloogide rekursiivseks sisenemiseks.

    SigCheck analüüsib faile, mis ei ole digitaalselt allkirjastatud (nagu pahavara)

    See väga kasulik utiliit analüüsib teie süsteemis olevate failide digitaalset allkirja ja ütleb teile, kas need on kehtivad või puuduvad sertifikaadid. Võite seda kasutada ka failide kontrollimiseks VirusTotali käsurealt, mis on mugav, sest see on selle tööriista tegelik punkt, on leida pahavara.

    Tavaline ja kõige kasulikum süntaks on lisada -u lüliti, mis teatab ainult probleemidest, ja -e lüliti, mis kontrollib ainult käivitatavaid faile. Nii et saaksite käivitada midagi sellist, et kontrollida oma system32 kataloogi ja veenduda, et kõik seal olevad failid on digitaalselt allkirjastatud. Kõiki muid asju tuleks väga hoolikalt uurida.

    sigcheck -e -u C: Windows System32

    Võite kasutada ka -v võimalust täiendava kontrollimiseks VirusTotali vastu, kuid peate esimest korda kasutama -vt võimalust, et nõustuda nende tingimustega.

    sigcheck -v -vt

    SDelete kustutab failid turvaliselt

    Kui te olete paranoiline tüüp, saate teada, et saate failid käsurealt igal ajal turvaliselt pühkida. Kasutage lihtsalt sdelete utiliiti faili koputamiseks DoD-ühilduvate kustutamisprotokollidega. (Muidugi on NSA-l tõenäoliselt veel teie faili koopia). Süntaks on lihtne:

    sdelete

    Alternatiivselt saate puhastada vaba ruumi draivilt sdelete-c valik, mis võtab kauem aega, kuid on hea valik, kui unustasite faili esmalt eemaldada sdelete abil.

    Contig defragmenteerib ühe või mitu individuaalset faili

    Kui soovid defragmentida ainult ühe faili või failide loendi, saate seda kasutada ka Contig-utiliidi abil. Muidugi ei pea te Windowsi kaasaegsetes versioonides faile automaatselt eemaldama. Ja jah, kui te kasutate tahkis-draivi, ei tohiks te kunagi defragmentida ega vajate. Aga kui sa absoluutselt, positiivselt, peate ühe faili defragmentima, siis on see seda teha. Süntaks on lihtne:

    contig

    Kui soovite faili killustatust analüüsida ilma tegelikku tegemata, saate kasutada a-lülitit, nagu allpool näidatud:

    Väärib märkimist, et isegi kui fail on killustunud, siis kui fail on väga suur ja see on ainult mõne suurema tükina, siis ei saavuta see defragmentimisest põhiliselt midagi ning on selle ajaga rohkem aega veetnud, kui oleksite salvestanud.

    du Näitab ketta kasutamist

    Windows Exploreris saate alati hiire parema nupuga klõpsata mis tahes failil või kaustal ja valida suvandi Atribuudid või kasutada faili või kausta suuruse vaatamiseks kiirklahvi ALT + ENTER. Aga mis siis, kui soovite näha, et need andmed oleksid käsurealt? Seal on sisse lülitatud ka du utiliit ja see on ka natuke täpsem, sest see ei sisalda sümboolseid seotud faile ja kontrollib ka alternatiivseid andmevooge.

    -N valik kontrollib ainult ühte kausta ilma alamkataloogideta ümber, samal ajal kui -v suvand kordub ja näitab ka iga kataloogi, kui see läbi nimekirja läheb, ja -l (n) valik kontrollib lihtsalt n-tasemeid sügaval. Nagu ka, kontrollib l 2 2 taset sügaval.

    PendMoves kuvab failid, mis liiguvad edasi järgmises rebootis

    Kas olete kunagi mõelnud, miks rakenduse installimine paneb teie arvuti taaskäivitama? Vastus on tavaliselt, et nad soovivad mõningaid faile ümber paigutada, mida ei saa Windowsi käitamise ajal ringi liikuda, nii et nad kasutavad sisseehitatud Windowsi funktsiooni, mis tegeleb failide teisaldamisega või kustutamisega taaskäivitamisel.

    Ainus asi, mida peate tegema, on käsu käivitamine ja see väljastab andmed. Miks on protsessi Exploreri koopia plaanitud järgmisse taaskäivitamisel Windowsi kausta liikuma? Loe edasi.

    MoveFiles liigutab süsteemifaile, kui te taaskäivitate

    See utiliit kasutab sisseehitatud Windowsi funktsiooni faili või kataloogi teisaldamiseks, kustutamiseks või ümbernimetamiseks, et see toimuks järgmise taaskäivitustsükli ajal, enne kui Windows on täielikult laetud. Süntaks on tõesti lihtne:

    movefile

    Kui soovite faili kustutada, saate tsiteeritud jutu abil kasutada tühja sihtkohta movefile “”. Nagu näete alloleval pildil, kasutasime Movefile'i käsku, et ajastada Windowsi kataloogi teisaldatava protsessi explorer koopia, et illustreerida, kuidas see kõik toimib.

    Junction loob sümboolsed lingid

    Windows toetab failide ja kaustade sümboolseid linke, nii et teil võib olla rohkem kui üks tee, mis viiks sama faili, et säästa ruumi selle asemel, et faili mitu koopiat saada. Idee sarnaneb otseteedele, välja arvatud see on failisüsteemi tasandil ja see on integreeritud NTFS-i.

    Junction-utiliit võimaldab neid linke kergesti luua ja kustutada. Neid saab kasutada ka kasutades junction -d .

    ristmikul

    Reaalsus on aga see, et Windows, kuna Vista on suutnud luua mlink-käsuga sümboleid, võite seda kasutada ka selle asemel.

    FindLinks leiab failidele kõva lingi

    See väike utiliit leiab kõik failile viitavad kõvad lingid. Kõvad lingid erinevad sümboolsetest linkidest selles, et ühe kõva lingi kustutamine ei kustuta faili, kui sellele failile on rohkem raskeid linke, see lihtsalt ilmub, et kustutatakse, kuni olete kustutanud kõik kõvad lingid. Kui olete lõpliku raske lingi kustutanud, kustutatakse fail.

    Märge: see võib tegelikult olla huvitav viis veenduda, et keegi, kes on harjunud faile kustutama, ei kustutaks konkreetset faili. Lihtsalt looge kõva link kõigile failidele, mida te ei soovi kaotada.

    Igal juhul saate seda käsku lihtsalt kasutada:

    findlinks

    Ainus probleem on see, et Windows 7 ja 8 on sisseehitatud käsk, mis teeb sama. Selle asemel kasutage seda:

    fsutil hardlink loend

    Märge: Alati on parem õppida sisseehitatud asju kasutama, kui see on võimalik, sest sa ei tea kunagi, millal peate midagi tegema kellegi teise arvutis, kui teil pole oma tööriistakomplekti.

    DiskView kuvab ketta struktuuri

    See utiliit võimaldab teil näha kõvaketta struktuuri väga üksikasjalikult ning saate isegi suumida ja valida nimekirjast esile tõstetava faili, et näha, kus konkreetne fail draivil asub, ja ka vaata, kas see on killustatud või mitte. See ei ole enamiku inimeste jaoks väga kasulik, kuid loodetavasti on teil stsenaarium, kus peate seda kasutama.

    Disk2vhd muudab arvutid virtuaalseks kõvakettaks

    See utiliit loob teie arvuti kõvaketta klooni, kui see töötab, ja koondab selle kõik virtuaalsesse kõvaketta faili, mida saab kasutada virtuaalmasinas. Ja see toimib arvuti töötamise ajal.

    See on õige, saate oma arvuti käivitamisel luua kõvakettalt virtuaalse masina. See võib olla tõesti kasulik ka stsenaariumide puhul, kus soovite teha masina mõnda kohtuekspertiisi, vaid oma arvutisse - sa võiksid lihtsalt luua klooni ja seejärel käivitada selle virtuaalse masina asemel.

    Vhdxi valik annab Disk2vhdile võimaluse kasutada VHD-failivormingu asemel uut VHDX-vormingut, millel oli mitmeid piiranguid. Vaikimisi loob Disk2vhd iga füüsilise draivi jaoks eraldi failid, kuid paneb partitsioonid samasse faili. Kui kavatsete lihtsalt lisada selle VHD-faili teisele virtuaalsele masinale või lihtsalt ühendada selle tavalise Windowsi arvutiga, saate eemaldada loendist partitsioonid, mida te ei vaja. Kui plaanite sellest virtuaalse masina teha, siis peaksite kõik kontrollima jätma.

    VHD-i väljundfaili saab tegelikult paigutada samasse draivi, mida te kopeerite, kuid soovitame võimaluse korral kasutada teist draivi, et muuta see kõik kiiremaks.

    PageDefrag on vananenud

    See utiliit lubas teil süsteemi faile ebaühtlustada boot'i ajal, kuid kuna see ei tööta Windowsi viimastel versioonidel, siis peaksite selle vahele jätma.

    Sünkroonimine kirjutab vahemällu salvestatud andmed oma kettale

    See utiliit lihtsalt sünkroniseerib kõik vahemällu salvestatud andmed kettale, et veenduda, et kõik failimuudatused kirjutatakse draivile ja neid ei salvestata mõnes puhvris. Loomulikult peaksite iga kord kasutama suvandit Turvaline eemaldamine, kui soovite, et mälukaardi tõmbamisel andmeid ei kaotaks.

    Disk Monitor näitab teile reaalajas kõvaketta aktiivsust

    See utiliit näitab tegelikku kõvaketta tegevust reaalajas - sektorites, loeb, kirjutab, andmete pikkust, see kõik on seal. Ainus probleem on see, et see ei ole enamiku inimeste jaoks väga kasulik.

    Võib-olla natuke kasulikum on kettasalvestus “Tray Disk Light”, mida saab valida menüüst Options. Kui olete selle režiimi sisse lülitanud, liigub see süsteemisalve ja vilgub kirjutamiseks roheliselt punaselt, lugemiseks roheline või jääda halliks, kui midagi ei juhtu.

    Kui ainult ikoon sobis Windows 8-ga veidi paremaks.

    VolumeID Muudab draivi seerianumbrit

    Kas olete kunagi märganud, kuidas igal draivil on seerianumber, mis näeb välja nagu 064B-1E81 või midagi sama huvitavat? Kui soovite selle seerianumbri muuta midagi lõbusamaks, saate seda teha selle süntaksiga VolumeID utiliidi abil:

    volumeid XXXX-XXXX

    Pange tähele, et süntaks on vaja kasutada kuueteistkümnendsümboleid, nii et GEEK-1337 ei saa sisestada, nagu me tegime, sest see lihtsalt ei tööta.

    Järgmine õppetund

    Homme me kavatseme seeria kokku panna, vaadates mõningaid vähe kommunaalteenuseid, mida me ei vastanud, samuti mõned juhised kõigi tööriistade kasutamiseks koos ja kui peaksite iga tööriista välja tõmbama.