ניתוח וניהול קבצים, תיקיות וכוננים
אנחנו כמעט סיימנו עם סדרת ג 'ייק הספר שלנו על כלים SysInternals, והיום אנחנו הולכים לדבר על כל כלי עזר המסייעים לך להתמודד עם קבצים ותיקיות - אם אתה מוצא נתונים מוסתרים או מאובטח מחיקת קובץ.
בית הספר ניווט- מה הם SysInternals כלים וכיצד אתה משתמש בהם?
- הבנת תהליך Explorer
- באמצעות סייר התהליך כדי לפתור ולאבחן
- הבנת תהליך מעקב
- באמצעות תהליך לפקח על בעיות ולמצוא פריצות הרישום
- באמצעות Autoruns להתמודד עם תהליכי אתחול ותוכנות זדוניות
- באמצעות BgInfo להציג מידע מערכת על שולחן העבודה
- שימוש PsTools לשלוט מחשבים אחרים משורת הפקודה
- ניתוח וניהול קבצים, תיקיות וכוננים
- גלישת למעלה ושימוש בכלים יחד
יש לא מעט כלי עזר ב Toolkit כי להתמודד עם כל מיני דברים הקשורים קבצים או תיקיות או מציאת נתונים שאתה לא יודע היה שם, ויש כמה שהם קצת בצד מטופש. כך או כך, אנחנו נסתיר את כולם.
הכלים החשובים ביותר הקשורים לקובץ בערכה כדי להכיר הם כנראה כלי השירות Sigcheck ו הזרמים, אבל זה יהיה חכם לקרוא את כולם בזהירות.
זרמים חיפוש והצגות NTFS זרמים מוסתרים
רוב האנשים לא יודעים על תכונה זו, אבל Windows יאפשר לך לאחסן נתונים בתוך תא נסתר במערכת הקבצים שנקרא זרמי נתונים חלופיים. זה בעצם עובד על ידי צירוף נקודתיים ומפתח ייחודי לסוף של קובץ כאשר אינטראקציה עם זה.
לדוגמה, אם אתה רוצה להסתיר כמה נתונים בקובץ, אתה יכול לעשות משהו כמו eken Secret> filename.txt: מוסתר וגם אם פתחת את קובץ הטקסט בפנקס הרשימות, לא תראה את הטקסט הסודי שהוספת, ולא תהיה שום דרך אחרת לדעת שהוא אפילו שם. למעשה, אתה יכול לעשות כמעט כל דבר שאתה רוצה באמצעות טכניקה זו. (הקפד לקרוא את המאמר שלנו על הנושא עבור הסבר מלא).
זוהי גם טכניקה המאפשרת Windows באופן קסם לדעת כי הקבצים כבר הורדו מהאינטרנט, על ידי הסתרת נתונים בתוך השדה Zone.Identifier. למעשה, ניתן למחוק זרם נתונים חלופי זה באמצעות תוכנית השירות 'זרמים'.
התחביר הוא פשוט - כדי לראות את הזרמים, הקלד את הפקודה הבאה:
זרמים
אתה יכול גם להשתמש "זרמים *. Exe" או משהו כזה כדי לראות את כל הקבצים עם נתונים זרם מוסתר, אם יש. הדרך המהירה ביותר לראות משהו היא להיכנס לספריית ההורדות ולהפעיל אותה שם.
כדי למחוק אחד מהזרמים או רבים מהם, תוכל להשתמש באפשרות -d:
זרמים-ד
ניתן גם להשתמש באפשרות -s להיכנס לתיקיות משנה רקורסיבית.
SigCheck מנתח קבצים שאינם חתומים דיגיטלית (כמו תוכנה זדונית)
זה כלי שימושי מאוד מנתח את חתימות דיגיטליות של קבצים על המערכת שלך ואומר לך אם הם תקפים או חסר אישור. אתה יכול גם להשתמש בו כדי לבדוק קבצים נגד VirusTotal משורת הפקודה, וזה נוח, כי זה הנקודה האמיתית של כלי זה, היא למצוא תוכנות זדוניות.
התחביר הרגיל והשימושי ביותר הוא להוסיף את מתג -u, אשר מדווח רק על בעיות, ו- e-switch, אשר בודק רק קבצי הפעלה. אז אתה יכול לרוץ משהו כזה כדי לבדוק את המדריך system32 ולוודא כי כל הקבצים יש חתימה דיגיטלית. כל דבר אחר צריך להיבדק מקרוב.
sigcheck -e -u C: \ Windows \ System32
ניתן גם להשתמש באפשרות -v לבדיקה נוספת כנגד VirusTotal, אך יהיה עליך להשתמש באפשרות -vt בפעם הראשונה לקבל את התנאים וההגבלות שלהם.
sigcheck -v -vt
מאובטח מוחק קבצים
אם אתה סוג פרנואידית, אתה תהיה שמח לדעת שאתה יכול לנגב קבצים באופן מאובטח משורת הפקודה בכל עת שתרצה. פשוט להשתמש בכלי sdelete לחסל את הקובץ עם פרוטוקולי מחיקת DoD תואם. (כמובן NSA כנראה עדיין יש עותק של הקובץ שלך). התחביר הוא פשוט:
sdelete
אתה יכול לחלופין לנקות את שטח פנוי בכונן באמצעות sdelete -c אפשרות, אשר ייקח יותר, אבל היא אפשרות טובה אם שכחת להשתמש sdelete להסיר את הקובץ מלכתחילה.
איחוי איחוי אחד או קבצים בודדים בודדים
אם אתה רוצה לאחות רק קובץ אחד בודד, או רשימה של קבצים, אתה יכול להשתמש בכלי השירות Contig לעשות בדיוק את זה. בטח, אתה לא באמת צריך לאחות קבצים בגירסאות מודרניות של Windows, כי לעשות את זה באופן אוטומטי. וכן, אם אתה משתמש בכונן מצב מוצק אתה לא צריך לאחות ולא צריך. אבל אם אתה בהחלט, חיובי, חייב לאחות קובץ יחיד, זה השירות לעשות את זה. התחביר הוא פשוט:
contig
אם אתה רוצה לנתח את הפיצול של קובץ מבלי לעשות שום דבר בפועל, אתה יכול להשתמש במתג -a כפי שמוצג להלן:
ראוי לציין כי גם אם הקובץ הוא מקוטע, אם הקובץ הוא גדול מאוד והוא שבור רק כמה חתיכות גדולות, תוכל להרוויח כלום למעשה מ defragmenting ויהיה בזבז יותר זמן להתעסק עם זה ממה היית להציל.
מציגה שימוש בדיסק
אתה תמיד יכול פשוט לחץ לחיצה ימנית על כל קובץ או תיקיה בסייר Windows ובחר מאפיינים, או השתמש בקיצור המקשים ALT + ENTER כדי לראות את הגודל של קובץ או תיקיה. אבל מה אם אתה רוצה לראות את הנתונים משורת הפקודה? זה המקום שבו השירות du מגיע, וזה גם קצת יותר מדויק, כי זה לא לספור קבצים סמליים מקושרים, והוא עושה לבדוק זרמים נתונים חלופיים גם כן.
האפשרות -n בודקת רק תיקייה אחת, ללא recerc לתוך subdirectories, ואילו האפשרות -v עושה recurse וגם מציג כל ספרייה כפי שהוא עובר דרך הרשימה, ואת האפשרות (l) n בודק רק "n" רמות עמוק. כמו,, ll 2 היה לבדוק 2 רמות עמוק.
מציג קבצים על העברת הבא
האם תהית אי פעם מדוע התקנות אפליקציה לגרום לך לאתחל את המחשב? התשובה היא בדרך כלל כי הם רוצים להעביר כמה קבצים מסביב, כי לא ניתן להעביר סביב בעת Windows פועל, ולכן הם משתמשים מובנית Windows תכונה המטפלת נע או מחיקת קבצים על אתחול מחדש.
הדבר היחיד שאתה צריך לעשות הוא להפעיל את הפקודה, וזה יהיה פלט הנתונים. מדוע עותק של Process Explorer מתוזמן לעבור לתיקיית Windows באתחול הבא? תמשיך לקרוא.
העברת קבצים מערכת בעת אתחול מחדש
כלי שירות זה משתמש בתכונה Windows המובנית כדי לתזמן העברה, מחיקה או שינוי שם של קובץ או ספריה, כך שזה יקרה במהלך מחזור האתחול הבא, לפני ש- Windows ייטען במלואו. התחביר הוא פשוט מאוד:
movefile
אם ברצונך למחוק קובץ, תוכל להשתמש ביעד ריק באמצעות ציטוטים, כגון Movefile ". כפי שניתן לראות בצילום המסך למטה, השתמשנו בפקודה Movefile כדי לתזמן עותק של Explorer Explorer כדי לעבור לספריית Windows כדי להמחיש כיצד הכל פועל.
צומת יוצר קישורים סמליים
Windows תומך בקישורים סמליים עבור קבצים ותיקיות, כך שתוכל לכלול יותר מנקודת נתיב אחת לאותו קובץ כדי לחסוך מקום במקום שיש מספר עותקים של קובץ. הרעיון דומה לקיצורי דרך, למעט זה ברמת מערכת הקבצים המובנית ב- NTFS.
השירות צומת מאפשר לך ליצור ולמחוק קישורים אלה בקלות. ניתן גם למחוק אותם באמצעות צומת - ד .
צומת
המציאות, עם זאת, היא כי Windows מאז Vista יש את היכולת ליצור symlinks עם הפקודה mklink, ואתה יכול גם להשתמש בו במקום זאת.
מצא קישורים קשיחים לקבצים
כלי קטן זה מוצא את כל הקישורים הקשים המצביעים לקובץ. קישורים קשיחים שונים מהקישורים הסימבוליים בכך שמחיקת קישור קשיח אחד לא מוחקת למעשה את הקובץ אם יש קישורים קשים יותר לקובץ זה, הוא פשוט מוחק אותו עד שתמחק את כל הקישורים הקשים. לאחר שתמחק את הקישור הקשה הסופי, הקובץ יימחק.
הערה: זה יכול למעשה להיות דרך מעניינת כדי לוודא כי קובץ מסוים לא נמחק באמת על ידי מישהו שיש לו את הרגל של מחיקת קבצים. פשוט ליצור קישור קשה לכל הקבצים שאתה לא רוצה שהם יאבדו.
בכל מקרה, תוכל להשתמש בפקודה זו בקלות מספקת:
קישורים
הבעיה היחידה היא של- Windows 7 ו- 8 יש פקודה מובנית שעושה את אותו הדבר. השתמש במקום זאת במקום זה:
רשימת
הערה: זה תמיד טוב יותר ללמוד להשתמש המובנה דברים כאשר אפשר, כי אתה אף פעם לא יודע מתי תצטרך לעשות משהו במחשב של מישהו אחר כאשר אין לך ערכת הכלים שלך.
DiskView מציג מבנה דיסק
כלי זה מאפשר לך לראות את מבנה הכונן הקשיח בפירוט רב, ואתה יכול אפילו זום כל הדרך ובחר קובץ כדי להדגיש את הרשימה, כך שאתה יכול לראות איפה קובץ מסוים הוא על הכונן, וגם לראות אם הוא מקוטע או לא. זה לא שימושי מאוד עבור רוב האנשים, אבל אני מקווה שיש לך תרחיש שבו ייתכן שיהיה עליך להשתמש בו.
Disk2vhd הופך מחשבים לתוך כוננים קשיחים וירטואליים
כלי זה יוצר שיבוט של הכונן הקשיח של המחשב בזמן שהוא פועל, וכן חבילות הכל לתוך קובץ כונן קשיח וירטואלי שניתן להשתמש בו מכונה וירטואלית. וזה עושה את זה בזמן שהמחשב פועל.
זה נכון, אתה יכול ליצור מכונה וירטואלית של הכונן הקשיח בזמן שהמחשב פועל. זה יכול להיות גם מועיל עבור תרחישים שבהם אתה רוצה לעשות קצת ניתוח משפטי של מחשב אבל על המחשב שלך - אתה יכול פשוט ליצור שיבוט ולאחר מכן אתחול זה כמכונה וירטואלית במקום.
האפשרות עבור Vhdx מספרת ל- Disk2vhd להשתמש בתבנית הקובץ החדש VHDX במקום בתבנית הקובץ VHD, אשר היו מספר מגבלות. כברירת מחדל Disk2vhd הולך ליצור קבצים נפרדים עבור כל כונן פיזי, אבל לשים מחיצות לתוך אותו קובץ. אם אתה פשוט מתכנן לצרף את הקובץ VHD למכונה וירטואלית אחרת, או אפילו רק לעלות אותו על מחשב רגיל של Windows, אתה יכול להסיר את המחיצות שאתה לא צריך ברשימה. אם אתה מתכנן להפוך את המחשב וירטואלי מתוך זה, אתה כנראה צריך לעזוב הכל נבדק.
את קובץ הפלט VHD יכול למעשה להיות ממוקם על אותו כונן שאתה עושה עותק של, אבל היינו ממליצים להשתמש בכונן השני אם אפשר רק כדי להפוך את כל זה ללכת מהר.
PageDefrag הוא מיושן
כלי זה איפשר לך לאחות קבצי מערכת במהלך האתחול, אבל מאז זה לא עובד על הגירסאות האחרונות של Windows, אתה צריך לדלג על זה.
סנכרון כותב נתונים במטמון לדיסק שלך
כלי זה פשוט מסנכרן את כל הנתונים המאוחסנים במטמון אל הדיסק כדי לוודא את כל השינויים בקובץ נכתבים לכונן ולא מאוחסן במאגר כלשהו איפשהו. כמובן, אתה צריך להשתמש באפשרות הסר בבטחה בכל פעם אם אתה רוצה להיות בטוח שאתה לא תאבד נתונים בעת משיכת כונן הבזק.
צג הדיסק מראה לך בזמן אמת כונן קשיח פעילות
כלי זה מראה פעילות כונן קשיח בפועל קורה בזמן אמת - מגזרים, קורא, כותב, אורך הנתונים, זה הכל שם. הבעיה היחידה היא שזה לא מועיל מאוד עבור רוב האנשים.
מה זה קצת יותר שימושי, אולי, הוא ניטור הדיסק "מגש דיסק אור", כי אתה יכול לבחור מתוך תפריט אפשרויות. לאחר שתפעיל מצב זה, הוא יעבור לתוך מגש המערכת ובוהק אדום עבור כותב, ירוק עבור קורא, או להישאר אפור כאשר שום דבר לא קורה.
אם רק סמל התאימו את Windows 8 קצת יותר טוב.
VolumeID משנה את המספר הסידורי של Drive
האם שמתם לב איך לכל כונן יש מספר סידורי שנראה כמו 064B-1E81 או משהו לא מעניין באותה מידה? אם ברצונך לשנות את המספר הסידורי למשהו מהנה יותר, תוכל לעשות זאת באמצעות כלי השירות VolumeID עם התחביר:
volumeid XXXX-XXXX
שים לב שהתחביר דורש שימוש בתווים הקסדצימליים, כך שאינך יכול להקליד GEEK-1337 כמו שעשינו, מכיוון שהוא פשוט לא יעבוד.
השיעור הבא
מחר אנחנו הולכים לעטוף את הסדרה עם מבט על כמה כלי עזר קטנים שאנחנו החמצנו, כמו גם כמה הדרכה על שימוש בכל הכלים יחד, וכאשר אתה צריך להוציא כל כלי.