Analýza a správa souborů, složek a disků

Jsme skoro hotovi s naší sérii Geek School na nástrojích SysInternals a dnes budeme mluvit o všech nástrojích, které vám pomohou vypořádat se soubory a složkami - ať už hledáte skryté údaje, nebo bezpečně odstraníte soubor.

ŠKOLNÍ NAVIGACE

1. Jaké jsou nástroje SysInternals a jak je používáte?
2. Porozumění procesu průzkumu
3. Použití Process Explorer k odstraňování a diagnostice
4. Porozumění procesu sledování
5. Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
6. Použití autorunů k řešení spouštěcích procesů a malwaru
7. Pomocí BgInfo zobrazíte informace o systému na ploše
8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
9. Analýza a správa souborů, složek a disků
10. Zalomení a používání nástrojů společně

Existuje poměrně málo pomůcek v sadě nástrojů, které se zabývají všemi druhy věcí, které souvisejí se soubory nebo složkami, nebo najít data, která jste nevěděli, že tam je, a existuje několik, které jsou trochu na hloupé straně. Každopádně je budeme pokrývat všechny.

Nejdůležitější nástroje související se souborem, které se dozvíte v sadě, jsou pravděpodobně nástroje společnosti Sigcheck a Streams, ale bylo by rozumné přečíst si je pečlivě.

Proudy zjišťují a zobrazují skryté toky NTFS

Většina lidí o této funkci neví, ale systém Windows vám umožní ukládat data do skrytého oddílu v systému souborů nazvaném alternativní datové toky. To v podstatě funguje přidáním dvojtečky a jedinečného klíče do konce názvu souboru při interakci s ním.

Například, pokud jste chtěli některé soubory skrýt, můžete něco udělat echo Secret> filename.txt: hiddenstuff a dokonce i když jste otevřeli tento textový soubor v Poznámkovém bloku, neviděli byste "tajný" text, který jste přidali, a neexistuje jiný způsob, jak vědět, že to bylo dokonce i tam. Ve skutečnosti můžete pomocí této techniky dělat téměř vše, co chcete. (Ujistěte se, že si přečtete náš článek o tématu, kde naleznete úplné vysvětlení).

To je také technika, která umožňuje systému Windows kouzelně vědět, že soubory byly staženy z internetu, skrývající data uvnitř pole Zone.Identifier. Ve skutečnosti můžete tento alternativní datový proud smazat pomocí nástroje Streams.

Syntaxe je jednoduchá - pro zobrazení streamů zadejte následující příkaz:

proudy

Můžete také použít "streams * .exe" nebo něco podobného, ​​abyste viděli všechny soubory se skrytými toky dat, pokud existují. Nejrychlejší způsob, jak vidět něco, je vést do adresáře stahování a spustit jej tam.

Chcete-li jeden nebo více streamů smazat, můžete použít volbu -d:

proudy -d

Můžete také použít volbu -s pro přechod do podadresářů rekurzivně.

SigCheck analyzuje soubory, které nejsou digitálně podepsány (jako malware)

Tento velmi užitečný nástroj analyzuje digitální podpisy souborů ve vašem systému a říká, zda jsou platné nebo chybí certifikát. Můžete také použít pro kontrolu souborů proti VirusTotal z příkazového řádku, což je výhodné, protože to je skutečný bod tohoto nástroje, je najít malware.

Normální a nejužitečnější syntaxe je přidat přepínač -u, který hlásí pouze problémy a přepínač -e, který kontroluje pouze spustitelné soubory. Takže můžete spustit něco takového, abyste zkontrolovali adresář system32 a ujistěte se, že všechny soubory jsou digitálně podepsány. Vše ostatní by mělo být velmi pečlivě prozkoumáno.

sigcheck -e -u C: \ Windows \ System32

Můžete také použít volbu -v pro další kontrolu proti VirusTotal, ale budete muset použít možnost -vt poprvé, abyste přijali jejich smluvní podmínky.

sigcheck -v -vt

SDelete bezpečně odstraní soubory

Pokud jste paranoidním typem, rádi bychom věděli, že můžete bezpečně vymazat soubory z příkazového řádku kdykoli budete chtít. Použijte nástroj sdelete k vymazání souboru pomocí protokolů mazání kompatibilních s DoD. (Samozřejmě NSA pravděpodobně ještě obsahuje kopii vašeho souboru). Syntaxe je jednoduchá:

sdelete

Alternativně můžete vyčistit volný prostor na jednotce pomocí tlačítka sdelete -c možnost, která bude trvat déle, ale je dobrou volbou, pokud jste zapomněli použít sdelete k odstranění souboru na prvním místě.

Contig Defragmentuje jeden nebo mnoho individuálních souborů

Chcete-li defragmentovat pouze jeden soubor nebo seznam souborů, můžete použít nástroj Contig. Jistě, nemusíte opravdu defragmentovat soubory v moderních verzích systému Windows, které to dělají automaticky. A jo, pokud používáte jednotku SSD, neměli byste nikdy defragmentovat ani nepotřebujete. Ale pokud absolutně, pozitivně, musí defragmentovat jeden soubor, to je nástroj, který to udělat. Syntaxe je jednoduchá:

contig

Pokud chcete analyzovat fragmentaci souboru, aniž byste nic dělají, můžete použít přepínač -a, jak je znázorněno níže:

Je třeba poznamenat, že i když je soubor roztříštěný, je-li soubor velmi velký a je rozdělen pouze na několik velkých kusů, získáte v podstatě nic z defragmentace a ztrácíte více času tím, že mu to trápí, než byste ušetřili.

du Ukazuje použití disku

V Průzkumníku Windows můžete vždy kliknout pravým tlačítkem myši na libovolný soubor nebo složku a zvolit Vlastnosti nebo pomocí klávesové zkratky ALT + ENTER zobrazit velikost souboru nebo složky. Co když chcete vidět data z příkazového řádku? To je místo, kde du utilita přichází, a je také trochu přesnější, protože nepočítá symbolické propojené soubory, a to také kontroluje střídavé datové toky.

Volba -n kontroluje pouze jednu složku, aniž by se vrátila do podadresářů, zatímco volba -v se znovu objevuje a také zobrazuje každý adresář, jak prochází seznamem a volba -l (n) kontroluje pouze hloubku "n" úrovně. Stejně jako v případě -l 2 bude kontrolovat 2 úrovně hluboko.

PendMoves zobrazuje soubory přesunuté na další restart

Přemýšleli jste někdy o tom, proč instalace aplikací způsobují restart počítače? Odpověď je obvykle, že se chtějí přesunout některé soubory kolem, které nemohou být přesunuty, zatímco je systém Windows spuštěn, takže používají vestavěnou funkci systému Windows, která zpracovává přesouvání nebo mazání souborů při restartování.

Jediná věc, kterou musíte udělat, je spustit příkaz a vygeneruje data. Proč je naplánováno přesunutí aplikace Explorer do složky Windows při dalším restartování počítače? Číst dál.

MoveFiles přesouvá systémové soubory při restartování

Tento nástroj využívá funkci vestavěného systému Windows k naplánování přesunutí, odstranění nebo přejmenování souboru nebo adresáře tak, aby se to stalo během dalšího cyklu restartu, než bude systém plně načten. Syntaxe je opravdu jednoduchá:

movefile

Pokud chcete soubor smazat, můžete použít prázdné místo pomocí uvozovek, například movefile "". Jak můžete vidět na následujícím obrázku, jsme pomocí příkazu Movefile naplánovali kopii Průzkumníka procesu, který se má přesunout do adresáře systému Windows, aby ukázal, jak to funguje.

Křižovatka vytváří symbolická spojení

Systém Windows podporuje symbolické odkazy souborů a složek, takže můžete mít k jednomu souboru více než jeden bod cesty, abyste ušetřili místo namísto toho, abyste měli více kopií souboru. Myšlenka je podobná zkratkám, s výjimkou toho, že je na úrovni systému souborů a je zabudována do NTFS.

Nástroj Junction umožňuje snadno vytvořit a odstranit tyto odkazy. Můžete je také smazat pomocí křižovatka -d .

spojení

Realitou je však to, že systém Windows od verze Vista měl schopnost vytvářet symbolické odkazy pomocí příkazu mklink a můžete místo toho použít místo toho.

FindLinks nalezne pevné odkazy na soubory

Tento malý nástroj najde všechny pevné odkazy směřující na soubor. Tvrdé odkazy se liší od symbolických odkazů tím, že smazání jednoho pevného odkazu ve skutečnosti neodstraní soubor, pokud existuje více pevných odkazů na tento soubor, zdá se, že ho odstraníte, dokud neodstraníte všechny pevné odkazy. Po odstranění posledního pevného odkazu bude soubor smazán.

Poznámka: mohlo by to být zajímavý způsob, jak se ujistit, že určitý soubor není skutečně smazán někým, kdo má zvyk mazat soubory. Stačí vytvořit pevný odkaz se všemi soubory, které nechcete, aby ztratili.

V každém případě můžete tento příkaz snadno použít:

findlinks

Jediným problémem je, že Windows 7 a 8 mají vestavěný příkaz, který dělá totéž. Použijte místo toho:

fsutil seznam hardlinku

Poznámka: Vždy je lepší se naučit používat vestavěné věci, pokud je to možné, protože nikdy nevíte, kdy budete muset něco udělat v počítači jiného uživatele, když nemáte sadu nástrojů.

DiskView zobrazuje strukturu disku

Tento nástroj vám umožní vidět podrobně strukturu pevného disku a dokonce můžete dokonce přiblížit a vybrat soubor, který chcete zvýraznit v seznamu, takže můžete vidět, kde je konkrétní soubor na jednotce, a také zda je fragmentován nebo ne. Pro většinu lidí to není strašně užitečné, ale doufejme, že máte scénář, v němž byste ho mohli potřebovat.

Disk2vhd mění počítače na virtuální pevné disky

Tento nástroj vytvoří klon pevného disku vašeho počítače, když je spuštěn, a svazuje ho do souboru virtuálního pevného disku, který lze použít ve virtuálním počítači. A to je v době, kdy je počítač spuštěn.

To je pravda, můžete vytvořit virtuální počítač pevného disku, zatímco je počítač spuštěn. To by také mohlo být opravdu užitečné pro scénáře, kde chcete provést nějakou forenzní analýzu stroje, ale na vašem počítači - stačí vytvořit klon a poté jej spustit jako virtuální stroj.

Možnost pro Vhdx informuje Disk2vhd, že použije novější formát souboru VHDX namísto formátu souboru VHD, který měl řadu omezení. Ve výchozím nastavení bude Disk2vhd vytvářet samostatné soubory pro každou fyzickou jednotku, ale do stejného souboru budou umístěny diskové oddíly. Pokud prostě plánujete připojit tento soubor VHD k jinému virtuálnímu počítači nebo ho dokonce připojit k běžnému počítači se systémem Windows, můžete zrušit zaškrtnutí oddílů, které nepotřebujete v seznamu. Pokud máte v úmyslu z něj vyloučit virtuální počítač, měli byste pravděpodobně nechat všechno zkontrolovat.

Výstupní soubor VHD lze skutečně umístit na stejnou jednotku, kterou vytváříte, ale doporučujeme použít druhou jednotku, pokud je to možné, jen aby bylo vše rychlejší.

Stránka PageDefrag je zastaralá

Tento nástroj vám umožnil defragmentovat systémové soubory během bootování, ale protože nefunguje v posledních verzích systému Windows, měli byste ho přeskočit.

Synchronizace zapisuje údaje uložené do mezipaměti na disk

Tento nástroj jednoduše synchronizuje všechna data uložená v mezipaměti na disk, aby se ujistil, že všechny změny souborů jsou zapsány na jednotku a nejsou uloženy někde v nějaké vyrovnávací paměti. Samozřejmě, měli byste použít pokaždé bezpečnostní volbu, pokud chcete mít jistotu, že při vytáhnutí jednotky flash neztratíte data.

Disk Monitor zobrazuje aktivitu pevného disku v reálném čase

Tento nástroj zobrazuje skutečnou činnost pevného disku, která se děje v reálném čase - sektory, čte, píše, délku dat, je to všechno. Jediným problémem je, že pro většinu lidí to není strašně užitečné.

Co je trochu užitečnější, možná je monitorování disku "Tray Disk Light", které si můžete vybrat z nabídky Možnosti. Jakmile povolíte tento režim, přesune se do systémové lišty a bliká červeně pro zápis, zelená pro čtení nebo zůstane šedá, když se nic neděje.

Pokud se ikona shodovala Windows 8 trochu lépe.

VolumeID mění sériové číslo jednotky

Už jste si někdy všimli, že každý disk má sériové číslo, které vypadá jako 064B-1E81 nebo něco stejně nezajímavého? Pokud chcete změnit toto sériové číslo na něco zábavnější, můžete to udělat pomocí nástroje VolumeID s touto syntaxí:

volumeid XXXX-XXXX

Vezměte prosím na vědomí, že syntaxe vyžaduje použití hexadecimálních znaků, takže nemůžete napsat GEEK-1337 jako my, protože to prostě nebude fungovat.

Další lekce

Zítra se chystáme zabalit sérii s pohledem na některé z malých nástrojů, které nám chyběly, stejně jako nějaké pokyny pro použití všech nástrojů dohromady a kdy byste měli vytáhnout každý nástroj.