S naší sérií Geek School na nástrojích SysInternals jsme téměř hotovi a dnes budeme hovořit o všech nástrojích, které vám pomohou pracovat se soubory a složkami – ať už hledáte skrytá data nebo bezpečně smažete soubor.



NAVIGACE ŠKOLY
  1. Co jsou nástroje SysInternals a jak je používáte?
  2. Porozumění Process Exploreru
  3. Použití Process Explorer k odstraňování problémů a diagnostice
  4. Pochopení Process Monitor
  5. Použití nástroje Process Monitor k řešení problémů a hledání hacků registru
  6. Použití Autoruns k řešení spouštěcích procesů a malwaru
  7. Použití BgInfo k zobrazení systémových informací na ploše
  8. Použití PsTools k ovládání ostatních počítačů z příkazového řádku
  9. Analýza a správa vašich souborů, složek a disků
  10. Zabalit a používat nástroje společně

V sadě nástrojů je poměrně dost nástrojů, které se zabývají nejrůznějšími věcmi souvisejícími se soubory nebo složkami nebo hledáním dat, o kterých jste nevěděli, že tam jsou, a existuje několik, které jsou trochu hloupé. V každém případě je všechny pokryjeme.

Nejdůležitějšími nástroji souvisejícími se soubory v sadě, se kterými se můžete seznámit, jsou pravděpodobně nástroje Sigcheck a Streams, ale bylo by moudré si je všechny pečlivě pročíst.

Streams Najde a zobrazí skryté toky NTFS

Většina lidí o této funkci neví, ale Windows vám to umožní Jak skrýt data v tajném oddílu textového souboru

Například, pokud chcete skrýt některá data v souboru, můžete udělat něco jako echo Secret > filename.txt:hiddenstuff a i kdybyste tento textový soubor otevřeli v Poznámkovém bloku, neuvidíte tajný text, který jste přidali, a nebyl by žádný jiný způsob, jak zjistit, že tam vůbec je. Ve skutečnosti můžete pomocí této techniky dělat téměř vše, co chcete. (Ujistěte se, že magicky poznáte, že soubory byly staženy z internetu, tím, že skryjete data do pole Zone.Identifier. Ve skutečnosti můžete tento alternativní datový tok odstranit pomocí nástroje Streams.

Syntaxe je jednoduchá – chcete-li vidět proudy, zadejte na výzvu následující:

proudy

reklama

Můžete také použít streamy *.exe nebo něco podobného k zobrazení všech souborů se skrytými daty streamu, pokud nějaké existují. Nejrychlejší způsob, jak něco vidět, je zamířit do adresáře stažených souborů a spustit to tam.

Chcete-li odstranit jeden ze streamů nebo mnoho z nich, můžete použít volbu -d:

proudy -d

Můžete také použít volbu -s k rekurzivnímu přechodu do podadresářů.

SigCheck analyzuje soubory, které nejsou digitálně podepsané (jako malware)

Tento velmi užitečný nástroj analyzuje digitální podpisy souborů ve vašem systému a řekne vám, zda jsou platné nebo zda chybí certifikát. Můžete jej také použít ke kontrole souborů proti VirusTotal z příkazového řádku, což je pohodlné, protože skutečným smyslem tohoto nástroje je najít malware.

Normální a nejužitečnější syntaxí je přidat přepínač -u, který pouze hlásí problémy, a přepínač -e, který kontroluje pouze spustitelné soubory. Takže byste mohli spustit něco takového, abyste zkontrolovali svůj adresář system32 a ujistili se, že všechny soubory jsou digitálně podepsány. Cokoli jiného by mělo být důkladně prozkoumáno.

sigcheck -e -u C:WindowsSystem32

Můžete také použít volbu -v pro další kontrolu proti VirusTotal, ale poprvé budete muset použít volbu -vt, abyste přijali jejich smluvní podmínky.

sigcheck -v -vt

SDelete Bezpečně odstraní soubory

Pokud jste paranoidní typ, budete rádi, když budete vědět, že můžete bezpečně vymazat soubory z příkazového řádku, kdykoli budete chtít. Stačí použít nástroj sdelete k nabourání souboru pomocí protokolů pro odstranění vyhovující DoD. (Samozřejmě NSA pravděpodobně stále má kopii vašeho souboru). Syntaxe je jednoduchá:

smazat

reklama

Volné místo na jednotce můžete také vyčistit pomocí smazat -c možnost, která bude trvat déle, ale je to dobrá volba, pokud jste nejprve zapomněli použít sdelete k odstranění souboru.

Contig defragmentuje jeden nebo více jednotlivých souborů

Pokud chcete defragmentovat pouze jeden soubor nebo seznam souborů, můžete k tomu použít nástroj Contig. Jistě, v moderních verzích Windows, které to dělají automaticky, opravdu nemusíte defragmentovat soubory. A ano, pokud používáte jednotku SSD, nikdy byste neměli defragmentovat ani nemusíte. Ale pokud absolutně, pozitivně, musíte defragmentovat jeden soubor, je to nástroj, který to udělá. Syntaxe je jednoduchá:

contig

Pokud chcete analyzovat fragmentaci souboru, aniž byste ve skutečnosti cokoliv dělali, můžete použít přepínač -a, jak je znázorněno níže:

Stojí za zmínku, že i když je soubor fragmentovaný, pokud je soubor velmi velký a je rozdělen pouze na několik velkých částí, defragmentací nezískáte v podstatě nic a ztratíte více času, než byste ušetřili.

du Zobrazuje využití disku

Vždy můžete jednoduše kliknout pravým tlačítkem na libovolný soubor nebo složku v Průzkumníkovi Windows a vybrat Vlastnosti nebo použít klávesovou zkratku ALT + ENTER pro zobrazení velikosti souboru nebo složky. Ale co když chcete vidět tato data z příkazového řádku? Zde přichází na řadu nástroj du, který je také o něco přesnější, protože nepočítá symbolické propojené soubory a kontroluje také alternativní datové toky.

reklama

Volba -n kontroluje pouze jednu složku, aniž by se vracela do podadresářů, zatímco volba -v se opakuje a také zobrazuje každý adresář, když prochází seznamem, a volba -l (n) kontroluje pouze n úrovní hloubky. Stejně jako v případě, -l 2 by prověřilo 2 úrovně hluboko.

PendMoves Zobrazuje přesunutí souborů při příštím restartu

Napadlo tě někdy proč vás instalace aplikace nutí restartovat počítač ? Odpověď je obvykle taková, že chtějí přesunout některé soubory, které nelze přesunout, když je spuštěn systém Windows, takže používají vestavěnou funkci systému Windows, která zajišťuje přesun nebo mazání souborů při restartu.

Jediné, co musíte udělat, je spustit příkaz a ten vypíše data. Proč je naplánováno přesunutí kopie Process Exploreru do složky Windows při příštím restartu? Číst dál.

MoveFiles Přesune systémové soubory při restartu

Tento nástroj používá vestavěnou funkci systému Windows k naplánování přesunu, odstranění nebo přejmenování souboru nebo adresáře tak, aby k tomu došlo během příštího cyklu restartování, než se systém Windows plně načte. Syntaxe je opravdu jednoduchá:

movefile

Pokud chcete soubor smazat, můžete použít prázdný cíl pomocí uvozovek, např movefile . Jak můžete vidět na níže uvedeném snímku obrazovky, použili jsme příkaz Movefile k naplánování přesunutí kopie Průzkumníka procesů do adresáře Windows, abychom ilustrovali, jak to celé funguje.

Junction vytváří symbolické odkazy

PŘÍBUZNÝ: Kompletní průvodce vytvářením symbolických odkazů (známých také jako symbolické odkazy) v systému Windows

Systém Windows podporuje symbolické odkazy na soubory a složky, takže můžete mít více než jeden bod cesty ke stejnému souboru, abyste ušetřili místo, místo abyste měli více kopií souboru. Myšlenka je podobná zkratkám, s tím rozdílem, že jsou na úrovni souborového systému a jsou zabudovány do NTFS.

reklama

Nástroj Junction vám umožňuje snadno vytvářet a mazat tyto odkazy. Můžete je také odstranit pomocí křižovatka -d .

křižovatka

Realita je však taková, že Windows od Visty měl schopnost vytvářet symbolické odkazy pomocí příkazu mklink , a místo toho můžete použít ten.

FindLinks Najde pevné odkazy na soubory

Tento malý nástroj najde všechny pevné odkazy směřující na soubor. Pevné odkazy se liší od symbolických odkazů v tom, že odstranění jednoho pevného odkazu ve skutečnosti neodstraní soubor, pokud je na tento soubor více pevných odkazů, ale pouze se zdá, že jej smažete, dokud neodstraníte všechny pevné odkazy. Jakmile smažete poslední pevný odkaz, soubor bude smazán.

Poznámka : ve skutečnosti by to mohl být zajímavý způsob, jak zajistit, aby konkrétní soubor nebyl skutečně odstraněn někým, kdo má ve zvyku soubory mazat. Stačí vytvořit pevný odkaz na všechny soubory, o které nechcete, aby přišli.

V každém případě můžete tento příkaz použít snadno:

najít odkazy

Jediný problém je, že Windows 7 a 8 mají vestavěný příkaz, který dělá to samé. Místo toho použijte tento:

seznam pevných odkazů fsutil

reklama

Poznámka: Vždy je lepší naučit se používat vestavěné věci, když je to možné, protože nikdy nevíte, kdy budete muset něco udělat na cizím počítači, když nemáte svou sadu nástrojů.

DiskView Zobrazuje strukturu disku

Tento nástroj vám umožňuje velmi podrobně vidět strukturu vašeho pevného disku a můžete dokonce celý přiblížit a vybrat soubor, který chcete zvýraznit v seznamu, takže můžete vidět, kde se konkrétní soubor na disku nachází, a také podívejte se, zda je fragmentovaný nebo ne. Pro většinu lidí to není příliš užitečné, ale doufejme, že máte scénář, kde jej možná budete muset použít.

Disk2vhd Promění PC ve virtuální pevné disky

Tento nástroj vytvoří klon pevného disku vašeho počítače, když je spuštěný, a vše spojí do souboru virtuálního pevného disku, který lze použít ve virtuálním počítači. A dělá to za běhu PC.

To je pravda, můžete vytvořit virtuální stroj svého pevného disku, když je počítač spuštěn. To by také mohlo být opravdu užitečné pro scénáře, kdy chcete provést nějakou forenzní analýzu stroje, ale na svém vlastním počítači – stačí vytvořit klon a místo toho jej spustit jako virtuální stroj.

Možnost pro Vhdx říká Disk2vhd, aby použil novější formát souboru VHDX místo formátu souboru VHD, který měl řadu omezení. Ve výchozím nastavení Disk2vhd vytvoří samostatné soubory pro každý fyzický disk, ale vloží oddíly do stejného souboru. Pokud jednoduše plánujete připojit tento soubor VHD k jinému virtuálnímu počítači nebo jej dokonce jen připojit k běžnému počítači se systémem Windows, můžete v seznamu zrušit zaškrtnutí oddílů, které nepotřebujete. Pokud z toho plánujete vytvořit virtuální stroj, měli byste pravděpodobně nechat vše zaškrtnuté.

reklama

Výstupní soubor VHD lze ve skutečnosti umístit na stejnou jednotku, ze které vytváříte kopii, ale pokud je to možné, doporučujeme použít druhou jednotku, aby to všechno šlo rychleji.

PageDefrag je zastaralý

Tento nástroj vám umožnil defragmentovat systémové soubory během spouštění, ale protože nefunguje na nejnovějších verzích systému Windows, měli byste jej přeskočit.

Sync zapisuje data z mezipaměti na váš disk

Tento nástroj jednoduše synchronizuje všechna data uložená v mezipaměti na disk, aby se ujistil, že všechny změny souborů budou zapsány na jednotku a nebudou uloženy někde v nějaké vyrovnávací paměti. Samozřejmě, vy měli použít možnost Bezpečně odebrat pokaždé, pokud si chcete být jisti, že při vytažení flash disku nepřijdete o data.

Disk Monitor zobrazuje aktivitu pevného disku v reálném čase

Tento nástroj zobrazuje skutečnou aktivitu pevného disku probíhající v reálném čase – sektory, čtení, zápisy, délku dat, to vše je tam. Jediný problém je, že to není pro většinu lidí strašně užitečné.

Co je možná trochu užitečnější, je sledování disku Tray Disk Light, které si můžete vybrat z nabídky Možnosti. Jakmile tento režim povolíte, přesune se na systémovou lištu a bude blikat červeně pro zápis, zeleně pro čtení nebo zůstane šedý, když se nic neděje.

Jen kdyby ikona odpovídala Windows 8 trochu lépe.

VolumeID Změní sériové číslo disku

Všimli jste si někdy, že každý disk má sériové číslo, které vypadá jako 064B-1E81 nebo něco stejně nezajímavého? Pokud chcete toto sériové číslo změnit na něco zábavnějšího, můžete to udělat pomocí nástroje VolumeID s touto syntaxí:

objemové číslo XXXX-XXXX

reklama

Vezměte prosím na vědomí, že syntaxe vyžaduje použití hexadecimálních znaků, takže nemůžete psát GEEK-1337 jako my, protože to prostě nebude fungovat.

Další lekce

Zítra zakončíme sérii pohledem na některé malé nástroje, které nám chyběly, a také s návodem, jak používat všechny nástroje společně a kdy byste měli jednotlivé nástroje vytáhnout.

ČTĚTE DALŠÍ
  • › Složka Počítač je 40: Jak Xerox Star vytvořil pracovní plochu
  • Kybernetické pondělí 2021: Nejlepší technologické nabídky
  • › Funkce vs. vzorce v aplikaci Microsoft Excel: Jaký je rozdíl?
  • › Co je MIL-SPEC ochrana proti pádu?
  • › Jak najít zabalené Spotify 2021
  • › 5 webových stránek, které by si měl každý uživatel Linuxu uložit do záložek