Мы почти закончили с нашей серией Geek School об инструментах SysInternals, и сегодня мы поговорим обо всех утилитах, которые помогают вам иметь дело с файлами и папками — находите ли вы скрытые данные или безопасно удаляете файл.
В наборе инструментов есть довольно много утилит, которые имеют дело со всевозможными вещами, которые связаны с файлами или папками, или находят данные, о которых вы не знали, и некоторые из них немного глупы. В любом случае, мы будем покрывать их всех.
Наиболее важными инструментами, относящимися к файлам в наборе для ознакомления, являются, вероятно, утилиты Sigcheck и Streams, но было бы разумно внимательно прочитать их все.
Потоки Находит и отображает скрытые потоки NTFS
Большинство людей не знают об этой функции, но Windows позволит вам хранить данные внутри скрытого отсека в файловой системе, называемой альтернативными потоками данных. Это в основном работает путем добавления двоеточия и уникального ключа в конец имени файла при взаимодействии с ним.
СВЯЗАННЫЕ: Как скрыть данные в отсеке секретного текстового файла
Например, если вы хотите скрыть некоторые данные в файле, вы можете сделать что-то вроде echo Secret> filename.txt: hiddenstuff, и даже если вы откроете этот текстовый файл в блокноте, вы не увидите текст «Secret», который Вы добавили, и не было бы другого способа узнать, что это было даже там. Фактически, вы можете делать практически все, что захотите, используя эту технику. (Обязательно прочитайте нашу статью на эту тему для полного объяснения).
Это также метод, который позволяет Windows магическим образом знать, что файлы были загружены из Интернета , скрывая данные в поле Zone.Identifier. Фактически, вы можете удалить этот альтернативный поток данных с помощью утилиты Streams.
Синтаксис прост — чтобы увидеть потоки, введите в приглашении следующее:
потоки <имя файла>
Вы также можете использовать «streams * .exe» или что-то в этом роде, чтобы увидеть все файлы со скрытыми данными потока, если они есть. Самый быстрый способ увидеть что-то — это зайти в каталог загрузок и запустить его там.
Чтобы удалить один или несколько потоков, вы можете использовать опцию -d:
streams -d <FileOrFolder>
Вы также можете использовать опцию -s для рекурсивного входа в подкаталоги.
SigCheck анализирует файлы без цифровой подписи (например, вредоносные программы)
Эта очень полезная утилита анализирует цифровые подписи файлов в вашей системе и сообщает вам, действительны ли они или нет сертификата. Вы также можете использовать его для проверки файлов на VirusTotal из командной строки, что удобно, поскольку в этом и заключается реальная цель этого инструмента — найти вредоносное ПО.
Обычный и наиболее полезный синтаксис — добавить ключ -u, который сообщает только о проблемах, и ключ -e, который проверяет только исполняемые файлы. Таким образом, вы можете запустить что-то вроде этого, чтобы проверить каталог system32 и убедиться, что все файлы там имеют цифровую подпись. Все остальное следует изучить очень внимательно.
sigcheck -e -u C: \ Windows \ System32
Вы также можете использовать опцию -v для дополнительной проверки VirusTotal, но вам нужно будет использовать опцию -vt в первый раз, чтобы принять их условия.
sigcheck -v -vt <имя файла>
SDelete надежно удаляет файлы
Если вы параноик, вы будете рады узнать, что можете безопасно удалять файлы из командной строки в любое время. Просто используйте утилиту sdelete для удаления файла с помощью DoD-совместимых протоколов удаления. (Конечно, у АНБ, вероятно, еще есть копия вашего файла). Синтаксис прост:
sdelete <имя файла>
В качестве альтернативы вы можете очистить свободное место на диске, используя опцию sdelete -c , которая займет больше времени, но является хорошим вариантом, если вы забыли использовать sdelete для удаления файла.
Contig дефрагментирует один или несколько отдельных файлов
Если вы хотите дефрагментировать только один файл или список файлов, вы можете использовать утилиту Contig, чтобы сделать это. Конечно, вам не нужно дефрагментировать файлы в современных версиях Windows, которые делают это автоматически. И да, если вы используете твердотельный накопитель, вы никогда не должны дефрагментировать, и вам это не нужно. Но если вам абсолютно необходимо выполнить дефрагментацию одного файла, это утилита для этого. Синтаксис прост:
contig <имя файла>
Если вы хотите проанализировать фрагментацию файла, фактически ничего не делая, вы можете использовать ключ -a, как показано ниже:
Стоит отметить, что даже если файл фрагментирован, если файл очень большой и разбит на несколько больших кусков, вы практически ничего не получите от дефрагментации и потратите на это больше времени, чем сэкономили бы.
du показывает использование диска
Вы всегда можете просто щелкнуть правой кнопкой мыши по любому файлу или папке в проводнике Windows и выбрать «Свойства», либо использовать сочетание клавиш ALT + ENTER, чтобы увидеть размер файла или папки. Но что, если вы хотите увидеть эти данные из командной строки? Вот где появляется утилита du, и она также немного точнее, потому что она не считает символически связанные файлы и также проверяет альтернативные потоки данных.
Опция -n проверяет только одну папку, без повторения в подкаталогах, в то время как опция -v рекурсирует и также показывает каждый каталог по мере его прохождения по списку, а опция -l (n) проверяет только «n» уровней. Как и в случае, -l 2 проверит 2 уровня.
PendMoves отображает файлы, перемещающиеся при следующей перезагрузке
Задумывались ли вы, почему при установке приложений вы перезагружаете компьютер ? Ответ обычно заключается в том, что они хотят переместить некоторые файлы, которые нельзя перемещать во время работы Windows, поэтому они используют встроенную функцию Windows, которая обрабатывает перемещение или удаление файлов при перезагрузке.
Единственное, что вам нужно сделать, это запустить команду, и она выведет данные. Почему копия Process Explorer запланирована для перемещения в папку Windows при следующей перезагрузке? Читай дальше.
MoveFiles перемещает системные файлы при перезагрузке
Эта утилита использует встроенную функцию Windows для планирования перемещения, удаления или переименования файла или каталога, чтобы это произошло во время следующего цикла перезагрузки, до полной загрузки Windows. Синтаксис действительно прост:
movefile <source> <dest>
Если вы хотите удалить файл, вы можете использовать пустое место назначения, используя кавычки, такие как movefile <source> «». Как вы можете видеть на скриншоте ниже, мы использовали команду Movefile, чтобы запланировать перемещение копии проводника процессов в каталог Windows, чтобы проиллюстрировать, как все это работает.
Junction создает символические ссылки
СВЯЗАННЫЕ: Полное руководство по созданию символических ссылок (или символических ссылок) в Windows
Windows поддерживает символические ссылки для файлов и папок, так что вы можете иметь более одной точки пути к одному и тому же файлу, чтобы сэкономить место, вместо нескольких копий файла. Идея похожа на ярлыки, за исключением того, что это на уровне файловой системы и встроено в NTFS.
Утилита Junction позволяет легко создавать и удалять эти ссылки. Вы также можете удалить их, используя junction -d <ShortcutName>.
соединение <ShortcutName> <ActualFolder>
Однако реальность такова, что Windows, начиная с Vista, имела возможность создавать символические ссылки с помощью команды mklink , и вы можете использовать ее вместо этого.
FindLinks находит жесткие ссылки на файлы
Эта маленькая утилита находит все жесткие ссылки, указывающие на файл. Жесткие ссылки отличаются от символических ссылок тем, что удаление одной жесткой ссылки на самом деле не удаляет файл, если есть более жесткие ссылки на этот файл, оно просто удаляет его, пока вы не удалите все жесткие ссылки. Как только вы удалите последнюю жесткую ссылку, файл будет удален.
Примечание : на самом деле это может быть интересным способом убедиться, что конкретный файл действительно не удален кем-то, кто имеет привычку удалять файлы. Просто создайте жесткую ссылку на все файлы, которые вы не хотите, чтобы они потеряли.
В любом случае вы можете использовать эту команду достаточно легко:
findlinks <имя файла>
Единственная проблема заключается в том, что Windows 7 и 8 имеют встроенную команду, которая делает то же самое. Используйте это вместо этого:
fsutil hardlink list <имя файла>
Примечание: всегда лучше научиться использовать встроенные функции, когда это возможно, потому что вы никогда не знаете, когда вам нужно будет что-то делать на чужом компьютере, когда у вас нет своего инструментария.
DiskView отображает структуру диска
Эта утилита позволяет вам увидеть структуру вашего жесткого диска в деталях, и вы можете даже полностью увеличить масштаб и выбрать файл для выделения в списке, чтобы вы могли видеть, где конкретный файл находится на диске, а также посмотрите, фрагментировано это или нет. Это не очень полезно для большинства людей, но, надеюсь, у вас есть сценарий, где вам может понадобиться его использовать.
Disk2vhd превращает ПК в виртуальные жесткие диски
Эта утилита создает клон жесткого диска вашего компьютера во время его работы и объединяет все это в файл виртуального жесткого диска, который можно использовать на виртуальной машине. И это происходит во время работы ПК.
Правильно, вы можете создать виртуальную машину на своем жестком диске, когда ваш компьютер работает. Это также может быть очень полезно для сценариев, в которых вы хотите провести некоторый судебный анализ машины, но на своем собственном компьютере — вы можете просто создать клон, а затем загрузить его как виртуальную машину.
Опция для Vhdx указывает Disk2vhd использовать более новый формат файла VHDX вместо формата файла VHD, который имеет ряд ограничений. По умолчанию Disk2vhd собирается создавать отдельные файлы для каждого физического диска, но помещать разделы в один и тот же файл. Если вы просто планируете присоединить этот VHD-файл к другой виртуальной машине или даже просто смонтировать его на обычном компьютере Windows, вы можете снять флажки с разделов, которые вам не нужны в списке. Если вы планируете сделать из нее виртуальную машину, вам, вероятно, следует оставить все проверенным.
Выходной файл VHD на самом деле может быть помещен на тот же диск, на котором вы делаете копию, но мы рекомендуем использовать второй диск, если это возможно, просто чтобы все работало быстрее.
PageDefrag устарел
Эта утилита позволила вам дефрагментировать системные файлы во время загрузки, но, поскольку она не работает в последних версиях Windows, вы должны пропустить ее.
Синхронизация записи кэшированных данных на ваш диск
Эта утилита просто синхронизирует все кэшированные данные на диск, чтобы убедиться, что все изменения файла записываются на диск и не сохраняются где-то в буфере. Конечно, вы должны использовать опцию «Безопасное удаление» каждый раз, если вы хотите быть уверены, что не потеряете данные при извлечении флешки.
Монитор диска показывает активность жесткого диска в режиме реального времени
Эта утилита показывает фактическую активность жесткого диска, происходящую в режиме реального времени — сектора, чтение, запись, объем данных, и все это есть. Единственная проблема заключается в том, что это не очень полезно для большинства людей.
Немного более полезным, может быть, является мониторинг диска «Tray Disk Light», который вы можете выбрать в меню «Параметры». Как только вы включите этот режим, он переместится в системный трей и будет мигать красным для записи, зеленым для чтения или оставаться серым, когда ничего не происходит.
Если бы только значок соответствовал Windows 8 немного лучше.
VolumeID изменяет серийный номер накопителя
Вы когда-нибудь замечали, что у каждого привода есть серийный номер, который выглядит как 064B-1E81 или что-то такое же неинтересное? Если вы хотите изменить этот серийный номер на что-то более забавное, вы можете сделать это с помощью утилиты VolumeID со следующим синтаксисом:
объемный XXXX-XXXX
Обратите внимание, что синтаксис требует использования шестнадцатеричных символов, поэтому вы не можете набирать GEEK-1337, как мы, потому что он просто не будет работать.
Следующий урок
Завтра мы собираемся завершить серию с обзором некоторых маленьких утилит, которые мы пропустили, а также некоторые рекомендации по использованию всех инструментов вместе, и когда вы должны вытащить каждый инструмент.