Αρχική σελίδα » σχολείο » Ανάλυση και διαχείριση αρχείων, φακέλων και μονάδων δίσκου

    Ανάλυση και διαχείριση αρχείων, φακέλων και μονάδων δίσκου

    Είμαστε σχεδόν έτοιμοι με τη σειρά Geek School για εργαλεία SysInternals και σήμερα πρόκειται να μιλήσουμε για όλα τα βοηθητικά προγράμματα που σας βοηθούν να χειρίζεστε αρχεία και φακέλους - είτε βρίσκετε κρυφά δεδομένα είτε διαγράφετε με ασφάλεια ένα αρχείο.

    ΣΧΟΛΙΚΗ ΠΛΟΗΓΗΣΗ
    1. Ποια είναι τα εργαλεία SysInternals και πώς τα χρησιμοποιείτε?
    2. Κατανόηση διερεύνησης διεργασιών
    3. Χρησιμοποιώντας την Εξερεύνηση διεργασιών για την αντιμετώπιση προβλημάτων και τη διάγνωση
    4. Κατανόηση της διαδικασίας παρακολούθησης
    5. Χρησιμοποιώντας την Παρακολούθηση διαδικασιών για την αντιμετώπιση προβλημάτων και την εύρεση αμυχών στο μητρώο
    6. Χρησιμοποιώντας το Autoruns για την αντιμετώπιση των διαδικασιών εκκίνησης και των κακόβουλων προγραμμάτων
    7. Χρησιμοποιώντας το BgInfo για την εμφάνιση πληροφοριών συστήματος στην επιφάνεια εργασίας
    8. Χρησιμοποιώντας PsTools για τον έλεγχο άλλων υπολογιστών από τη γραμμή εντολών
    9. Ανάλυση και διαχείριση αρχείων, φακέλων και μονάδων δίσκου
    10. Περιτύλιγμα και χρήση των εργαλείων μαζί

    Υπάρχουν αρκετά βοηθητικά προγράμματα στο σύνολο εργαλείων που ασχολούνται με όλα τα είδη των πραγμάτων που σχετίζονται με αρχεία ή φακέλους ή βρίσκουν δεδομένα που δεν γνωρίζατε εκεί και υπάρχουν μερικά που είναι λίγο στην ανόητη πλευρά. Είτε έτσι είτε αλλιώς, θα τα καλύψουμε όλα.

    Τα πιο σημαντικά εργαλεία που σχετίζονται με το αρχείο στο κιτ για να γνωρίσετε είναι πιθανώς τα βοηθητικά προγράμματα Sigcheck και Streams, αλλά θα ήταν συνετό να διαβάσετε προσεκτικά όλα αυτά.

    Ρεύματα βρίσκει και εμφανίζει κρυφές ροές NTFS

    Οι περισσότεροι άνθρωποι δεν γνωρίζουν αυτό το χαρακτηριστικό, αλλά τα Windows θα σας επιτρέψουν να αποθηκεύσετε δεδομένα μέσα σε ένα κρυφό διαμέρισμα στο σύστημα αρχείων που ονομάζεται εναλλασσόμενη ροή δεδομένων. Αυτό βασικά λειτουργεί προσθέτοντας ένα παχύ έντερο και ένα μοναδικό κλειδί στο τέλος ενός ονόματος αρχείου όταν αλληλεπιδρά με αυτό.

    Για παράδειγμα, εάν θέλετε να αποκρύψετε κάποια δεδομένα σε ένα αρχείο, θα μπορούσατε να κάνετε κάτι σαν echo Secret> όνομα_αρχείου.txt: hiddenstuff και ακόμη και αν ανοίξετε το αρχείο κειμένου στο Σημειωματάριο, δεν θα δείτε το κείμενο "Secret" που προσθέσατε και δεν θα υπήρχε άλλος τρόπος να γνωρίζετε ότι ήταν ακόμα εκεί. Στην πραγματικότητα, μπορείτε να κάνετε σχεδόν οτιδήποτε θέλετε χρησιμοποιώντας αυτήν την τεχνική. (Βεβαιωθείτε ότι έχετε διαβάσει το άρθρο μας για το θέμα για την πλήρη εξήγηση).

    Αυτή είναι και η τεχνική που επιτρέπει στα Windows να γνωρίζουν μαγικά ότι τα αρχεία έχουν ληφθεί από το διαδίκτυο, με την απόκρυψη δεδομένων μέσα στο πεδίο Zone.Identifier. Στην πραγματικότητα, μπορείτε να διαγράψετε αυτήν την εναλλακτική ροή δεδομένων χρησιμοποιώντας το βοηθητικό πρόγραμμα Ροή.

    Η σύνταξη είναι απλή - για να δείτε τα ρεύματα, πληκτρολογήστε τα ακόλουθα στη γραμμή εντολών:

    ροές

    Μπορείτε επίσης να χρησιμοποιήσετε "streams * .exe" ή κάτι τέτοιο για να δείτε όλα τα αρχεία με κρυφό ρεύμα δεδομένων, αν υπάρχουν. Ο πιο γρήγορος τρόπος να δείτε κάτι είναι να κατευθυνθείτε στον κατάλογο λήψεων και να τον εκτελέσετε εκεί.

    Για να διαγράψετε μία από τις ροές ή πολλές από αυτές, μπορείτε να χρησιμοποιήσετε την επιλογή -d:

    ροές -d

    Μπορείτε επίσης να χρησιμοποιήσετε την επιλογή -s για να μεταβείτε σε υποκαταλόγους αναδρομικά.

    Το SigCheck αναλύει αρχεία που δεν έχουν υπογραφεί ψηφιακά (όπως κακόβουλο λογισμικό)

    Αυτό το πολύ χρήσιμο βοηθητικό πρόγραμμα αναλύει τις ψηφιακές υπογραφές των αρχείων στο σύστημά σας και σας ενημερώνει εάν είναι έγκυρα ή δεν υπάρχει πιστοποιητικό. Μπορείτε επίσης να το χρησιμοποιήσετε για να ελέγξετε τα αρχεία από το VirusTotal από τη γραμμή εντολών, το οποίο είναι βολικό, επειδή αυτό είναι το πραγματικό σημείο αυτού του εργαλείου, είναι να βρείτε κακόβουλα προγράμματα.

    Η συνήθης και πιο χρήσιμη σύνταξη είναι να προσθέσετε τον διακόπτη -u, ο οποίος αναφέρει μόνο τα προβλήματα, και τον διακόπτη -e, ο οποίος ελέγχει μόνο εκτελέσιμα αρχεία. Έτσι θα μπορούσατε να εκτελέσετε κάτι τέτοιο για να ελέγξετε τον κατάλογο του system32 σας και να βεβαιωθείτε ότι όλα τα αρχεία που υπάρχουν ψηφιακά υπογράφηκαν. Οτιδήποτε άλλο πρέπει να εξεταστεί πολύ στενά.

    sigcheck -e-u C: \ Windows \ System32

    Μπορείτε επίσης να χρησιμοποιήσετε την επιλογή -v για πρόσθετο έλεγχο κατά του VirusTotal, αλλά θα χρειαστεί να χρησιμοποιήσετε την επιλογή -vt την πρώτη φορά για να αποδεχτείτε τους όρους και τις προϋποθέσεις.

    sigcheck -v -vt

    Το στοιχείο SDelete διαγράφει με ασφάλεια τα αρχεία

    Αν είστε ο παρανοϊκός τύπος, θα είστε ευτυχείς να ξέρετε ότι μπορείτε να σκουπίσετε με ασφάλεια τα αρχεία από τη γραμμή εντολών όποτε θέλετε. Απλά χρησιμοποιήστε το βοηθητικό πρόγραμμα sdelete για να παραμερίσετε το αρχείο με πρωτόκολλα διαγραφής συμβατά με DoD. (Φυσικά, ο NSA πιθανότατα έχει ακόμα ένα αντίγραφο του αρχείου σας). Η σύνταξη είναι απλή:

    αδελφή

    Μπορείτε εναλλακτικά να καθαρίσετε τον ελεύθερο χώρο σε μια μονάδα δίσκου χρησιμοποιώντας το sdelete -c επιλογή, η οποία θα διαρκέσει περισσότερο, αλλά είναι μια καλή επιλογή αν ξεχάσατε να χρησιμοποιήσετε το λογισμικό για να αφαιρέσετε το αρχείο στην πρώτη θέση.

    Contig Defragments Ένα ή πολλά μεμονωμένα αρχεία

    Αν θέλετε να ανασυγκροτήσετε ένα μόνο αρχείο ή μια λίστα αρχείων, μπορείτε να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Contig για να το κάνετε ακριβώς αυτό. Σίγουρα, δεν χρειάζεται πραγματικά να ανασυγκροτήσετε αρχεία σε σύγχρονες εκδόσεις των Windows που το κάνουν αυτόματα. Και ναι, αν χρησιμοποιείτε μια μονάδα SSD, δεν πρέπει ποτέ να ανασυγκροτήσετε ούτε να χρειαστείτε. Αλλά αν απολύτως, θετικά, πρέπει να ανασυγκροτήσετε ένα μόνο αρχείο, αυτό είναι το βοηθητικό πρόγραμμα για να το κάνει. Η σύνταξη είναι απλή:

    contig

    Εάν θέλετε να αναλύσετε τον κατακερματισμό ενός αρχείου χωρίς να κάνετε τίποτα, μπορείτε να χρησιμοποιήσετε το διακόπτη -a όπως φαίνεται παρακάτω:

    Αξίζει να σημειωθεί ότι ακόμα και αν ένα αρχείο είναι κατακερματισμένο, εάν το αρχείο είναι πολύ μεγάλο και έχει μόνο σπάσει σε μερικά μεγάλα κομμάτια, δεν θα κερδίσετε ουσιαστικά τίποτα από ανασυγκρότηση και θα χάσατε περισσότερο χρόνο να τον ενοχλείτε από αυτό που θα εξοικονομήσετε.

    Δείχνει τη χρήση δίσκων

    Μπορείτε πάντα να κάνετε δεξί κλικ σε οποιοδήποτε αρχείο ή φάκελο στην Εξερεύνηση των Windows και να επιλέξετε Ιδιότητες ή να χρησιμοποιήσετε τη συντόμευση πληκτρολογίου ALT + ENTER για να δείτε το μέγεθος ενός αρχείου ή φακέλου. Αλλά τι γίνεται αν θέλετε να δείτε αυτά τα δεδομένα από τη γραμμή εντολών; Εκεί έρχεται το βοηθητικό πρόγραμμα du και είναι επίσης λίγο ακριβέστερο επειδή δεν μετράει συμβολικά συνδεδεμένα αρχεία και ελέγχει επίσης εναλλακτικές ροές δεδομένων.

    Η επιλογή -n ελέγχει μόνο έναν μόνο φάκελο, χωρίς να επανέρχεται σε υποκαταλόγους, ενώ η επιλογή -v επανέρχεται και εμφανίζει επίσης κάθε κατάλογο καθώς περνά μέσα από τη λίστα και η επιλογή -l (n) ελέγχει βαθιά τα επίπεδα "n". Όπως και στο, -l 2 θα ελέγξει 2 επίπεδα βαθιά.

    Το PendMoves εμφανίζει τα αρχεία που κινούνται στην επόμενη επανεκκίνηση

    Έχετε αναρωτηθεί ποτέ γιατί οι εφαρμογές εγκατάστασης σας κάνουν να επανεκκινήσετε τον υπολογιστή σας; Η απάντηση είναι συνήθως ότι θέλουν να μετακινήσουν κάποια αρχεία γύρω από αυτά τα οποία δεν μπορούν να μετακινηθούν γύρω από τα Windows ενώ εκτελείται, έτσι χρησιμοποιούν μια ενσωματωμένη δυνατότητα των Windows που χειρίζεται τη μετακίνηση ή τη διαγραφή αρχείων κατά την επανεκκίνηση.

    Το μόνο που πρέπει να κάνετε είναι να εκτελέσετε την εντολή και θα εξάγει τα δεδομένα. Γιατί είναι προγραμματισμένο ένα αντίγραφο του Process Explorer να μετακινηθεί στο φάκελο των Windows στην επόμενη επανεκκίνηση; Συνέχισε να διαβάζεις.

    Το MoveFiles μετακινεί αρχεία συστήματος κατά την επανεκκίνηση

    Αυτό το βοηθητικό πρόγραμμα χρησιμοποιεί τη λειτουργία των ενσωματωμένων Windows για να προγραμματίσετε μια κίνηση, διαγραφή ή μετονομασία ενός αρχείου ή καταλόγου ώστε να συμβεί κατά τη διάρκεια του επόμενου κύκλου επανεκκίνησης, πριν να φορτωθούν πλήρως τα Windows. Η σύνταξη είναι πραγματικά απλή:

    μετακίνηση

    Εάν θέλετε να διαγράψετε ένα αρχείο, μπορείτε να χρησιμοποιήσετε έναν κενό προορισμό χρησιμοποιώντας εισαγωγικά, όπως π.χ. μετακίνηση "". Όπως μπορείτε να δείτε στο παρακάτω στιγμιότυπο οθόνης, χρησιμοποιήσαμε την εντολή Movefile για να προγραμματίσουμε ένα αντίγραφο του εξερευνητή διεργασίας να μετακινηθεί στον κατάλογο των Windows για να επεξηγηθεί πώς όλα λειτουργούν.

    Το σύνδεσμο δημιουργεί συμβολικούς συνδέσμους

    Τα Windows υποστηρίζουν συμβολικούς συνδέσμους για αρχεία και φακέλους, έτσι ώστε να μπορείτε να έχετε περισσότερα από ένα σημεία διαδρομής στο ίδιο αρχείο για να εξοικονομήσετε χώρο αντί να έχετε πολλά αντίγραφα ενός αρχείου. Η ιδέα είναι παρόμοια με τις συντομεύσεις, εκτός από το επίπεδο του συστήματος αρχείων και ενσωματωμένο στο NTFS.

    Το βοηθητικό πρόγραμμα Junction σας επιτρέπει να δημιουργείτε και να διαγράφετε εύκολα αυτούς τους συνδέσμους. Μπορείτε επίσης να τα διαγράψετε χρησιμοποιώντας διασταύρωση -d .

    διασταύρωση

    Η πραγματικότητα, ωστόσο, είναι ότι τα Windows από τότε που τα Vista είχαν τη δυνατότητα να δημιουργήσουν συμβολικές συνδέσεις με την εντολή mklink και ίσως και να χρησιμοποιήσετε αυτό το αντί.

    Το FindLinks βρίσκει σκληρούς δεσμούς με αρχεία

    Αυτό το μικρό βοηθητικό πρόγραμμα βρίσκει όλους τους σκληρούς συνδέσμους που δείχνουν ένα αρχείο. Οι σκληροί σύνδεσμοι είναι διαφορετικοί από τους συμβολικούς συνδέσμους, καθώς η διαγραφή ενός σκληρού συνδέσμου δεν διαγράφει το αρχείο εάν υπάρχουν περισσότεροι σκληροί σύνδεσμοι σε αυτό το αρχείο, φαίνεται ότι το διαγράφετε μέχρι να διαγράψετε όλους τους σκληρούς συνδέσμους. Μόλις διαγράψετε τον τελικό σκληρό σύνδεσμο, το αρχείο θα διαγραφεί.

    Σημείωση: αυτό θα μπορούσε να είναι ένας πολύ ενδιαφέρον τρόπος για να βεβαιωθείτε ότι ένα συγκεκριμένο αρχείο δεν διαγράφεται πραγματικά από κάποιον που έχει τη συνήθεια της διαγραφής αρχείων. Απλά δημιουργήστε έναν σκληρό σύνδεσμο σε όλα τα αρχεία που δεν θέλετε να χάσουν.

    Σε κάθε περίπτωση, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή αρκετά εύκολα:

    findlinks

    Το μόνο πρόβλημα είναι ότι τα Windows 7 και 8 έχουν μια ενσωματωμένη εντολή που κάνει το ίδιο πράγμα. Χρησιμοποιήστε αυτό το αντί:

    fsutil λίστα σκληρών γραμμών

    Σημείωση: Είναι πάντα καλύτερο να μάθετε να χρησιμοποιείτε το ενσωματωμένο υλικό όταν είναι δυνατόν, γιατί ποτέ δεν ξέρετε πότε θα χρειαστεί να κάνετε κάτι στον υπολογιστή κάποιου άλλου, όταν δεν έχετε το εργαλείο σας.

    Το DiskView εμφανίζει τη δομή του δίσκου

    Αυτό το βοηθητικό πρόγραμμα σας επιτρέπει να δείτε τη δομή του σκληρού σας δίσκου με μεγάλη λεπτομέρεια και μπορείτε ακόμη και να κάνετε ζουμ σε όλη τη διαδρομή και να επιλέξετε ένα αρχείο που θα τονιστεί στη λίστα, ώστε να μπορείτε να δείτε πού υπάρχει ένα συγκεκριμένο αρχείο στη μονάδα δίσκου, καθώς και δείτε αν είναι κατακερματισμένο ή όχι. Δεν είναι τρομερά χρήσιμο για τους περισσότερους ανθρώπους, αλλά ελπίζουμε ότι έχετε ένα σενάριο όπου ίσως χρειαστεί να το χρησιμοποιήσετε.

    Το Disk2vhd μετατρέπει τους υπολογιστές σε εικονικούς σκληρούς δίσκους

    Αυτό το βοηθητικό πρόγραμμα δημιουργεί έναν κλώνο του σκληρού δίσκου του υπολογιστή σας ενώ εκτελείται και τα συνδέει όλα σε ένα αρχείο Virtual Hard Drive που μπορεί να χρησιμοποιηθεί σε μια εικονική μηχανή. Και το κάνει αυτό ενώ ο υπολογιστής λειτουργεί.

    Αυτό είναι σωστό, μπορείτε να δημιουργήσετε μια εικονική μηχανή του σκληρού σας δίσκου ενώ ο υπολογιστής σας εκτελείται. Αυτό θα μπορούσε επίσης να είναι πραγματικά χρήσιμο για σενάρια όπου θέλετε να κάνετε κάποια ιατροδικαστική ανάλυση μιας μηχανής αλλά στον υπολογιστή σας - θα μπορούσατε απλά να δημιουργήσετε έναν κλώνο και στη συνέχεια να τον εκκινήσετε ως εικονική μηχανή.

    Η επιλογή για Vhdx λέει στο Disk2vhd να χρησιμοποιήσει τη νεότερη μορφή αρχείου VHDX αντί για τη μορφή αρχείου VHD, η οποία είχε αρκετούς περιορισμούς. Από προεπιλογή, ο Disk2vhd θα δημιουργήσει ξεχωριστά αρχεία για κάθε φυσική μονάδα δίσκου, αλλά θα θέσει διαμερίσματα στο ίδιο αρχείο. Εάν σχεδιάζετε απλώς να επισυνάψετε αυτό το αρχείο VHD σε μια άλλη εικονική μηχανή ή ακόμα και να το τοποθετήσετε σε έναν κανονικό υπολογιστή Windows, μπορείτε να καταργήσετε την επιλογή των κατατμήσεων που δεν χρειάζεστε στη λίστα. Εάν σχεδιάζετε να κάνετε μια εικονική μηχανή έξω από αυτό, θα πρέπει πιθανώς να αφήσετε τα πάντα ελεγχθεί.

    Το αρχείο εξόδου VHD μπορεί στην πραγματικότητα να τοποθετηθεί στην ίδια μονάδα δίσκου με την οποία δημιουργείτε ένα αντίγραφο, αλλά θα συνιστούσαμε να χρησιμοποιήσετε μια δεύτερη μονάδα δίσκου, αν είναι δυνατόν,.

    Το PageDefrag είναι παρωχημένο

    Αυτό το βοηθητικό πρόγραμμα σας επέτρεψε να ανασυγκροτήσετε αρχεία συστήματος κατά την εκκίνηση, αλλά επειδή δεν λειτουργεί σε πρόσφατες εκδόσεις των Windows, θα πρέπει να το παρακάμψετε.

    Ο συγχρονισμός γράφει κρυφά δεδομένα στη δισκέτα σας

    Αυτό το βοηθητικό πρόγραμμα απλά συγχρονίζει όλα τα αποθηκευμένα δεδομένα στο δίσκο για να βεβαιωθεί ότι όλες οι αλλαγές αρχείων εγγράφονται στη μονάδα δίσκου και δεν αποθηκεύονται σε κάποιο buffer κάπου. Φυσικά, θα πρέπει να χρησιμοποιείτε την επιλογή Ασφαλής Κατάργηση κάθε φορά που θέλετε να είστε σίγουροι ότι δεν θα χάσετε δεδομένα όταν τραβάτε μια μονάδα flash.

    Η οθόνη δίσκου σας δείχνει τη δραστηριότητα του σκληρού δίσκου σε πραγματικό χρόνο

    Αυτό το βοηθητικό πρόγραμμα δείχνει ότι η πραγματική δραστηριότητα σκληρού δίσκου συμβαίνει σε πραγματικό χρόνο - τομείς, διαβάζει, γράφει, το μήκος των δεδομένων, είναι όλα εκεί. Το μόνο πρόβλημα είναι ότι δεν είναι τρομερά χρήσιμο για τους περισσότερους ανθρώπους.

    Αυτό που είναι λίγο πιο χρήσιμο, ίσως, είναι η παρακολούθηση δίσκων "Tray Disk Light" που μπορείτε να επιλέξετε από το μενού Options. Μόλις ενεργοποιήσετε αυτήν τη λειτουργία, θα μετακινηθεί στο δίσκο συστήματος και θα αναβοσβήνει κόκκινο για εγγραφές, πράσινο για ανάγνωση ή θα παραμείνει γκρίζο όταν δεν συμβαίνει τίποτα.

    Εάν μόνο το εικονίδιο ταιριάζει με τα Windows 8 λίγο καλύτερα.

    VolumeID Αλλάζει τον σειριακό αριθμό του Drive

    Έχετε παρατηρήσει ποτέ πως κάθε δίσκος έχει έναν σειριακό αριθμό που μοιάζει με 064B-1E81 ή κάτι εξίσου ενοχλητικό; Εάν θέλετε να αλλάξετε αυτόν τον σειριακό αριθμό σε κάτι πιο διασκεδαστικό, μπορείτε να το κάνετε χρησιμοποιώντας το βοηθητικό πρόγραμμα VolumeID με αυτή τη σύνταξη:

    volumeid XXXX-XXXX

    Λάβετε υπόψη ότι η σύνταξη απαιτεί τη χρήση δεκαεξαδικών χαρακτήρων, ώστε να μην μπορείτε να πληκτρολογείτε στο GEEK-1337 όπως και εγώ, επειδή απλά δεν θα λειτουργήσει.

    Επόμενο Μάθημα

    Αύριο θα ολοκληρώσουμε τη σειρά με μια ματιά σε μερικές από τις μικρές επιχειρήσεις κοινής ωφέλειας που χάσαμε, καθώς και κάποιες οδηγίες για τη χρήση όλων των εργαλείων μαζί και όταν πρέπει να βγάζετε κάθε εργαλείο.

    Οι εφαρμογές Android θα είναι απίστευτες στα Chromebook ... Μόλις ολοκληρωθούν τα Kinks
    Android Πασχαλινά αυγά από το μελόψωμο στο Oreo Ένα μάθημα ιστορίας
    Μια επισκόπηση του πλαισίου διαφανειών του Designmodo
    Επόμενο άρθρο
    Δεδομένα εφαρμογών Android & Cache - Πώς να τα διαχειριστείτε
    Προηγούμενο άρθρο
    Αναλύστε τους κωδικούς κάθε ιστοτόπου με την επέκταση του Chrome CSS Dig