Анализирање и управљање вашим датотекама, фасциклама и погонима

Скоро смо завршили са серијом Геек Сцхоол на СисИнтерналс алаткама, а данас ћемо говорити о свим услужним програмима који вам помажу да се бавите датотекама и фасциклама - без обзира да ли налазите скривене податке или безбедно бришете датотеку.

СЦХООЛ НАВИГАТИОН

1. Шта су СисИнтерналс алати и како их користите?
2. Разумевање Процесс Екплорер-а
3. Користећи Процесс Екплорер за решавање проблема и дијагностиковање
4. Разумевање процеса Монитор
5. Користећи Процесс Монитор за отклањање проблема и проналажење Регистри Хацкс
6. Користећи Ауторунс да се баве процесима покретања и малваре
7. Користећи БгИнфо да прикажете информације о систему на радној површини
8. Коришћење ПсТоолс за контролу других рачунара из командне линије
9. Анализирање и управљање вашим датотекама, фасциклама и погонима
10. Завршавање и коришћење алата заједно

Постоји неколико услужних програма који се баве свим врстама ствари које се односе на датотеке или фасцикле или проналажење података које нисте знали да постоје, а има и неколико који су мало на блесавој страни. У сваком случају, покриваћемо их све.

Најважније алатке везане за фајлове у комплету за упознавање су вероватно Сигцхецк и Стреамс услужни програми, али било би мудро читати их пажљиво.

Стреамс проналази и приказује скривене НТФС токове

Већина људи не зна за ову функцију, али Виндовс ће вам омогућити да складиштите податке унутар скривеног одељка у систему датотека који се назива алтернативни токови података. Ово у суштини функционише додавањем двоточке и јединственог кључа на крај имена датотеке у интеракцији с њим.

На пример, ако желите да сакријете неке податке у датотеци, можете да урадите нешто слично ецхо Тајна> филенаме.ткт: хидденстуфф чак и ако сте отворили текстуалну датотеку у Нотепаду, не бисте видели “тајни” текст који сте додали, и не би било другог начина да сазнате да је он ту. У ствари, можете користити скоро све што желите користећи ову технику. (Обавезно прочитајте наш чланак о овој теми ради потпуног објашњења).

Ово је такође техника која омогућава Виндовс-у да магично зна да су датотеке преузете са интернета, скривајући податке у пољу Зоне.Идентифиер. У ствари, тај алтернативни ток података можете избрисати помоћу услужног програма Стреамс.

Синтакса је једноставна - да бисте видели токове, откуцајте следеће у одзивнику:

потоци

Такође можете користити “стреамс * .еке” или нешто слично да бисте видели све датотеке са скривеним стреам подацима, ако их има. Најбржи начин да видите нешто је да кренете у ваш директоријум за преузимање и покренете га тамо.

Да бисте избрисали неки од токова или много њих, можете користити опцију -д:

стреамс -д

Такођер можете користити опцију -с да бисте рекурзивно прешли у поддиректорије.

СигЦхецк анализира датотеке које нису дигитално потписане (као што је Малваре)

Овај врло користан програм анализира дигиталне потписе датотека на вашем систему и говори вам да ли су валидни или недостају цертификати. Можете га користити и за проверу датотека у ВирусТотал-у из командне линије, што је згодно, јер то је права точка овог алата, је пронаћи малваре.

Нормална и најкориснија синтакса је додавање -у прекидача, који пријављује само проблеме, и -е прекидача, који само провјерава извршне датотеке. Тако да можете покренути нешто овако да проверите ваш систем32 директоријум и проверите да ли су сви фајлови дигитално потписани. Све друго треба пажљиво испитати.

сигцхецк -е -у Ц: Виндовс Систем32

Такођер можете користити опцију -в за додатну провјеру против ВирусТотал, али ћете морати користити опцију -вт први пут да прихватите њихове увјете и одредбе.

сигцхецк -в -вт

СДелете Сецурели Делетес Филес

Ако сте параноидни тип, биће вам драго да знате да можете безбедно брисати датотеке из командне линије кад год желите. Само употребите услужни програм сделете да бисте ударили датотеку са протоколима брисања који су у складу са ДоД-ом. (Наравно НСА вероватно још увек има копију вашег фајла). Синтакса је једноставна:

сделете

Алтернативно можете очистити слободан простор на диск јединици помоћу сделете -ц опцију, која ће трајати дуже, али је добра опција ако сте заборавили да користите сделете да бисте прво уклонили датотеку.

Контигује дефрагментацију једне или више појединачних датотека

Ако желите да дефрагментирате само једну датотеку или листу датотека, можете користити програм Цонтиг да урадите управо то. Наравно, не морате да дефрагментујете датотеке у модерним верзијама оперативног система Виндовс које то раде аутоматски. И да, ако користите солид стате драјв никада не би требало да дефрагментујете нити да то морате. Али ако апсолутно, позитивно, морате дефрагментирати један фајл, ово је услужни програм за то. Синтакса је једноставна:

цонтиг

Ако желите да анализирате фрагментацију датотеке а да не урадите ништа, можете да користите прекидач -а као што је приказано у наставку:

Важно је напоменути да чак и ако је датотека фрагментирана, ако је датотека врло велика и само је разбијена на неколико великих дијелова, битно ћете добити ништа од дефрагментирања и изгубити ће вам више времена него што ћете сачувати.

ду Сховс Диск Усаге

Увек можете кликнути десним тастером миша на било коју датотеку или фасциклу у Виндовс Екплореру и изабрати Пропертиес, или користити пречицу АЛТ + ЕНТЕР да бисте видели величину датотеке или фасцикле. Али шта ако желите да видите те податке из командне линије? Ту се појављује ду корисни програми, а такође је и мало прецизнији јер не броји симболичне повезане датотеке, а такође проверава и алтернативне токове података..

Опција -н проверава само једну фасциклу, без понављања у поддиректоријуме, док опција -в врши рецурсе и такође приказује сваки директоријум док пролази кроз листу, а -л (н) опција проверава само н “нивое”. Као у, -л 2 би провјерио 2 нивоа дубоко.

ПендМовес Приказује датотеке које се крећу на сљедећем поновном покретању

Да ли сте се икада запитали зашто вам инсталације апликација дозвољавају да поново покренете рачунар? Одговор је обично да желе да преместе неке фајлове који се не могу померати док се Виндовс покреће, тако да они користе уграђену Виндовс функцију која управља померањем или брисањем датотека на рестарту.

Једина ствар коју треба да урадите је да покренете команду и она ће исписати податке. Зашто је копија Процесс Екплорер-а заказана за прелазак у Виндовс фасциклу на следећем рестарту? Прочитајте на.

МовеФилес Помера системске датотеке када поново покренете систем

Овај услужни програм користи уграђену Виндовс функцију за планирање премјештања, брисања или преименовања датотеке или директорија тако да се то догоди тијеком сљедећег циклуса поновног покретања, прије него што се Виндовс у потпуности учита. Синтакса је заиста једноставна:

мовефиле

Ако желите да избришете датотеку, можете користити празно одредиште користећи цитате, на пример мовефиле “”. Као што можете видети на слици испод, користили смо команду Мовефиле да би заказали копију процесног истраживача да се премести у Виндовс директоријум да би илустровали како све то функционише.

Јунцтион Ствара симболичке везе

Виндовс подржава симболичке везе за датотеке и фасцикле, тако да можете имати више од једне путање до исте датотеке да бисте уштедели простор, уместо да имате више копија датотеке. Идеја је слична пречици, осим што је то на нивоу датотечног система и уграђено у НТФС.

Услужни програм Јунцтион вам омогућава да лако креирате и бришете ове везе. Можете их и избрисати користећи јунцтион -д .

спој

Стварност је, међутим, то што је Виндовс, пошто је Виста имао могућност да креира симболичке везе са командом мклинк, а ви можете да га користите и уместо тога..

ФиндЛинкс проналази Хард Линкс то Филес

Овај мали алат проналази све тврде везе које упућују на датотеку. Тврди линкови се разликују од симболичких веза тако што брисање једног чврстог линка заправо не брише датотеку ако има више чврстих линкова на ту датотеку, само се чини да је брише све док не избришете све тврде везе. Када избришете коначни хард линк, датотека ће бити избрисана.

Белешка: ово би заправо могао бити занимљив начин да се осигура да одређени фајл није стварно избрисан од стране некога тко има навику брисања датотека. Само направите чврсту везу са свим датотекама које не желите да изгубе.

У сваком случају, можете користити ову команду довољно лако:

финдлинкс

Једини проблем је што Виндовс 7 и 8 имају уграђену команду која ради исту ствар. Уместо ове:

фсутил хардлинк лист

Белешка: Увек је боље да научите да користите уграђене ствари када је то могуће, јер никада не знате када ћете морати да урадите нешто на неком другом рачунару када немате алат.

ДискВиев Приказује структуру диска

Овај услужни програм вам омогућава да детаљно видите структуру чврстог диска и чак можете да зумирате до краја и да изаберете датотеку коју желите да истакнете на листи, тако да можете да видите где је одређена датотека на диску, а такође и да ли је фрагментиран или не. То није страшно корисно за већину људи, али надамо се да имате сценарио у којем ћете га можда морати користити.

Диск2вхд Претвара рачунаре у виртуалне хард дискове

Овај услужни програм креира клон чврстог диска вашег рачунара док је покренут и све то спаја у датотеку виртуелног чврстог диска која се може користити у виртуалној машини. И то ради док ПЦ ради.

То је тачно, можете да направите виртуелну машину чврстог диска док је рачунар покренут. Ово би такође могло да буде од велике помоћи за сценарије у којима желите да извршите форензичку анализу машине, али на вашем рачунару - можете само да креирате клон, а затим га покренете као виртуелну машину..

Опција за Вхдк говори Диск2вхд-у да користи новији ВХДКС формат датотеке умјесто ВХД формату, који је имао неколико ограничења. Подразумевано, Диск2вхд ће креирати засебне датотеке за сваки физички диск, али ће партиције ставити у исти фајл. Ако једноставно планирате да прикључите ову ВХД датотеку на другу виртуелну машину, или чак само да је монтирате на регуларном Виндовс рачунару, можете да искључите партиције које вам нису потребне на листи. Ако планирате да направите виртуелну машину из ње, вероватно бисте све оставили на чекању.

ВХД излазна датотека може бити постављена на исту диск јединицу на којој радите, али препоручујемо да користите другу диск јединицу ако је то могуће само да би све било брже..

ПагеДефраг је застарео

Овај услужни програм вам је омогућио да дефрагментирате системске датотеке током покретања, али пошто не ради на новијим верзијама Виндовса, требало би да га прескочите.

Синц Пише кеширане податке на ваш диск

Овај услужни програм једноставно синхронизује све предмемориране податке на диск како би се увјерили да су све промјене датотека записане на диск и да се не похрањују у неком спремнику негдје. Наравно, требало би да користите опцију Безбедно уклони сваки пут ако желите да будете сигурни да нећете изгубити податке када вучете флеш диск.

Диск Монитор вам приказује активност тврдог диска у реалном времену

Овај програм показује стварну активност хард диска која се дешава у реалном времену - сектори, чита, пише, дужина података, све је ту. Једини проблем је што то није страшно корисно за већину људи.

Оно што је мало корисније, можда је праћење диска “Траи Диск Лигхт” које можете изабрати у менију Оптионс. Када омогућите тај режим, преместит ће се у системску траку и треперити црвено за писање, зелено за читање, или остати сиво када се ништа не догоди.

Ако се само икона подудара са Виндовс 8 мало боље.

ВолумеИД Промена серијског броја диска

Да ли сте икада приметили како сваки диск има серијски број који изгледа као 064Б-1Е81 или нешто једнако незанимљиво? Ако желите да промените тај серијски број у нешто забавније, можете то да урадите помоћу програма ВолумеИД са овом синтаксом:

волумеид КСКСКСКС-КСКСКСКС

Имајте на уму да синтакса захтева коришћење хексадецималних знакова, тако да не можете да откуцате ГЕЕК-1337 као што смо то урадили, јер једноставно неће радити.

Нект Лессон

Сутра ћемо завршити серију са погледом на неке од малих услужних програма које смо пропустили, као и неке смернице о употреби свих алата заједно, и када треба да извадите сваку алатку.