Почти приключихме с нашата серия Geek School за инструменти на SysInternals и днес ще говорим за всички помощни програми, които ви помагат да се справяте с файлове и папки – независимо дали намирате скрити данни или сигурно изтривате файл.



УЧИЛИЩНА НАВИГАЦИЯ
  1. Какви са инструментите на SysInternals и как ги използвате?
  2. Разбиране на Process Explorer
  3. Използване на Process Explorer за отстраняване на неизправности и диагностика
  4. Разбиране на Process Monitor
  5. Използване на Process Monitor за отстраняване на неизправности и намиране на хакове в системния регистър
  6. Използване на автоматично стартиране за справяне със стартиращи процеси и злонамерен софтуер
  7. Използване на BgInfo за показване на системна информация на работния плот
  8. Използване на PsTools за управление на други компютри от командния ред
  9. Анализиране и управление на вашите файлове, папки и дискове
  10. Завършване и използване на инструментите заедно

В инструментариума има доста помощни програми, които се занимават с всякакви неща, свързани с файлове или папки или намиране на данни, за които не сте знаели, че са там, и има няколко, които са малко глупави. Така или иначе ще ги покрием всички.

Най-важните инструменти, свързани с файлове в комплекта, за да се запознаете, вероятно са помощните програми Sigcheck и Streams, но би било разумно да ги прочетете внимателно.

Потоци Намира и показва скрити NTFS потоци

Повечето хора не знаят за тази функция, но Windows ще ви позволи Как да скриете данни в отделение за секретен текстов файл

Например, ако искате да скриете някои данни във файл, можете да направите нещо подобно echo Secret > filename.txt:hiddenstuff и дори ако отворите този текстов файл в Notepad, няма да видите секретния текст, който сте добавили, и няма да има друг начин да разберете, че дори е там. Всъщност с тази техника можете да правите почти всичко, което искате. (Уверете се, че магически знаете, че файловете са били изтеглени от интернет, като скриете данни в полето Zone.Identifier. Всъщност можете да изтриете този алтернативен поток от данни с помощта на помощната програма Streams.

Синтаксисът е прост - за да видите потоците, въведете следното в подканата:

потоци

Реклама

Можете също да използвате потоци *.exe или нещо подобно, за да видите всички файлове със скрити данни за поток, ако има такива. Най-бързият начин да видите нещо е да отидете в директорията си за изтегляния и да го стартирате там.

За да изтриете един от потоците или много от тях, можете да използвате опцията -d:

потоци -d

как да ping IP адреси

Можете също да използвате опцията -s, за да влезете в поддиректории рекурсивно.

SigCheck анализира файлове, които не са цифрово подписани (като злонамерен софтуер)

Тази много полезна помощна програма анализира цифровите подписи на файлове във вашата система и ви казва дали са валидни или липсва сертификат. Можете също да го използвате, за да проверявате файлове срещу VirusTotal от командния ред, което е удобно, тъй като това е истинската цел на този инструмент, е да се намери зловреден софтуер.

Нормалният и най-полезен синтаксис е да добавите превключвателя -u, който само съобщава за проблеми, и превключвателя -e, който проверява само изпълними файлове. Така че можете да стартирате нещо подобно, за да проверите вашата директория system32 и да се уверите, че всички файлове там са цифрово подписани. Всичко друго трябва да се проучи много внимателно.

sigcheck -e -u C:WindowsSystem32

Можете също да използвате опцията -v за допълнителна проверка срещу VirusTotal, но ще трябва да използвате опцията -vt за първи път, за да приемете техните правила и условия.

sigcheck -v -vt

SDelete сигурно изтрива файлове

Ако сте параноичен тип, ще се радвате да знаете, че можете безопасно да изтриете файлове от командния ред по всяко време, когато пожелаете. Просто използвайте помощната програма sdelete, за да разбиете файла с протоколи за изтриване, съвместими с DoD. (Разбира се, NSA вероятно все още има копие на вашия файл). Синтаксисът е прост:

sdelete

Реклама

Като алтернатива можете да почистите свободното място на устройството, като използвате sdelete -c опция, която ще отнеме повече време, но е добра опция, ако сте забравили да използвате sdelete, за да премахнете файла на първо място.

Contig дефрагментира един или много отделни файлове

Ако искате да дефрагментирате само един файл или списък с файлове, можете да използвате помощната програма Contig, за да направите точно това. Разбира се, всъщност не е нужно да дефрагментирате файлове в съвременните версии на Windows, които го правят автоматично. И да, ако използвате SSD устройство, никога не трябва да дефрагментирате, нито е необходимо. Но ако абсолютно, положително, трябва да дефрагментирате един файл, това е помощната програма за това. Синтаксисът е прост:

contig

Ако искате да анализирате фрагментацията на файл, без всъщност да правите нищо, можете да използвате превключвателя -a, както е показано по-долу:

Струва си да се отбележи, че дори ако файлът е фрагментиран, ако файлът е много голям и е разбит само на няколко големи парчета, по същество няма да спечелите нищо от дефрагментирането и ще загубите повече време, занимавайки се с него, отколкото бихте спестили.

du Показва използването на диска

Винаги можете просто да щракнете с десния бутон върху всеки файл или папка в Windows Explorer и да изберете Свойства или да използвате клавишната комбинация ALT + ENTER, за да видите размера на файл или папка. Но какво ще стане, ако искате да видите тези данни от командния ред? Тук идва помощната програма du, която също е малко по-точна, защото не отчита символно свързани файлове и проверява и алтернативни потоци от данни.

Реклама

Опцията -n проверява само една папка, без да се повтаря в поддиректории, докато опцията -v прави рекурсия и също така показва всяка директория, докато минава през списъка, а опцията -l (n) проверява само n нива дълбоко. Както в, -l 2 ще провери 2 нива дълбоко.

PendMoves Показва преместване на файлове при следващо рестартиране

Чудили ли сте се някога защо инсталирането на приложение ви кара да рестартирате компютъра си ? Отговорът обикновено е, че те искат да преместят някои файлове, които не могат да бъдат премествани, докато Windows работи, така че те използват вградена функция на Windows, която обработва преместването или изтриването на файлове при рестартиране.

Единственото нещо, което трябва да направите, е да изпълните командата и тя ще изведе данните. Защо копие на Process Explorer е планирано да се премести в папката на Windows при следващото рестартиране? Прочетете нататък.

MoveFiles Премества системните файлове, когато рестартирате

Тази помощна програма използва вградената функция на Windows, за да планира преместване, изтриване или преименуване на файл или директория, така че това да се случи по време на следващия цикъл на рестартиране, преди Windows да се зареди напълно. Синтаксисът е наистина прост:

movefile

Ако искате да изтриете файл, можете да използвате празна дестинация, като използвате кавички, като премести файл . Както можете да видите на екранната снимка по-долу, използвахме командата Movefile, за да планираме преместване на копие на Process Explorer в директорията на Windows, за да илюстрираме как работи всичко.

Junction създава символични връзки

СВЪРЗАНИ: Пълното ръководство за създаване на символни връзки (известни още като символни връзки) в Windows

Windows поддържа символни връзки за файлове и папки, така че можете да имате повече от един път към един и същ файл, за да спестите място, вместо да имате множество копия на файл. Идеята е подобна на преките пътища, само че това е на ниво файлова система и е вградено в NTFS.

Реклама

Помощната програма Junction ви позволява лесно да създавате и изтривате тези връзки. Можете също да ги изтриете с помощта на кръстовище -d .

кръстовище

Реалността обаче е, че Windows има още от Vista възможността за създаване на символни връзки с командата mklink , и можете да използвате този вместо това.

FindLinks Намира твърди връзки към файлове

Тази малка помощна програма намира всички твърди връзки, сочещи към файл. Твърдите връзки се различават от символичните връзки по това, че изтриването на една твърда връзка всъщност не изтрива файла, ако има повече твърди връзки към този файл, просто изглежда, че го изтрива, докато не изтриете всички твърди връзки. След като изтриете последната твърда връзка, файлът ще бъде изтрит.

Забележка : това всъщност може да бъде интересен начин да се уверите, че конкретен файл наистина не е изтрит от някой, който има навика да изтрива файлове. Просто създайте твърда връзка към всички файлове, които не искате да загубят.

Във всеки случай можете да използвате тази команда достатъчно лесно:

намери връзки

Единственият проблем е, че Windows 7 и 8 имат вградена команда, която прави същото. Вместо това използвайте този:

fsutil списък с твърди връзки

Реклама

Забележка: Винаги е по-добре да се научите да използвате вградените неща, когато е възможно, защото никога не знаете кога ще трябва да направите нещо на компютъра на някой друг, когато нямате своя инструментариум.

DiskView показва структура на диска

Тази помощна програма ви позволява да видите структурата на вашия твърд диск с много детайли и дори можете да увеличите мащаба докрай и да изберете файл, който да откроите в списъка, така че да можете да видите къде се намира конкретен файл на устройството, както и вижте дали е фрагментиран или не. Не е много полезно за повечето хора, но се надяваме, че имате сценарий, в който може да се наложи да го използвате.

Disk2vhd превръща компютрите във виртуални твърди дискове

Тази помощна програма създава клонинг на твърдия диск на вашия компютър, докато работи, и обединява всичко във файл на виртуален твърд диск, който може да се използва във виртуална машина. И това прави, докато компютърът работи.

Точно така, можете да създадете виртуална машина на вашия твърд диск, докато компютърът ви работи. Това също може да бъде наистина полезно за сценарии, при които искате да направите някакъв криминалистичен анализ на машина, но на собствения си компютър - можете просто да създадете клонинг и след това да го заредите като виртуална машина.

Опцията за Vhdx казва на Disk2vhd да използва по-новия файлов формат VHDX вместо файловия формат VHD, който имаше редица ограничения. По подразбиране Disk2vhd ще създаде отделни файлове за всяко физическо устройство, но ще постави дялове в един и същ файл. Ако просто планирате да прикачите този VHD файл към друга виртуална машина или дори просто да го монтирате на обикновен компютър с Windows, можете да премахнете отметката от дялове, които не са ви необходими в списъка. Ако планирате да направите виртуална машина от нея, вероятно трябва да оставите всичко отметнато.

Реклама

Изходният VHD файл всъщност може да бъде поставен на същото устройство, на което правите копие, но бихме препоръчали да използвате второ устройство, ако е възможно, само за да вървим по-бързо.

PageDefrag е остарял

Тази помощна програма ви позволява да дефрагментирате системни файлове по време на зареждане, но тъй като не работи в последните версии на Windows, трябва да я пропуснете.

повишен команден ред windows 8.1

Sync записва кеширани данни на вашия диск

Тази помощна програма просто синхронизира всички кеширани данни към диска, за да се увери, че всички промени във файловете са записани на устройството и не се съхраняват някъде в някакъв буфер. Разбира се, ти трябва да използвате опцията Безопасно премахване всеки път, ако искате да сте сигурни, че няма да загубите данни при изтегляне на флаш устройство.

Дисковият монитор ви показва активността на твърдия диск в реално време

Тази помощна програма показва действителната активност на твърдия диск, която се случва в реално време – сектори, четене, запис, дължината на данните, всичко е там. Единственият проблем е, че не е много полезен за повечето хора.

Това, което може би е малко по-полезно, е индикаторът на Tray Disk Light за наблюдение на диска, който можете да изберете от менюто Опции. След като активирате този режим, той ще се премести в системната област и ще мига в червено за запис, зелено за четене или ще остане сив, когато нищо не се случва.

Само ако иконата отговаряше на Windows 8 малко по-добре.

VolumeID Променя серийния номер на устройството

Забелязвали ли сте някога как всяко устройство има сериен номер, който изглежда като 064B-1E81 или нещо също толкова безинтересно? Ако искате да промените този сериен номер на нещо по-забавно, можете да го направите, като използвате помощната програма VolumeID с този синтаксис:

обем XXXX-XXXX

Реклама

Моля, имайте предвид, че синтаксисът изисква използване на шестнадесетични знаци, така че не можете да въвеждате GEEK-1337, както направихме ние, защото просто няма да работи.

Следващ урок

Утре ще приключим поредицата с поглед към някои от малките помощни програми, които сме пропуснали, както и някои насоки за използване на всички инструменти заедно и кога трябва да извадите всеки инструмент.

ПРОЧЕТЕТЕ СЛЕДВАЩО
  • › Компютърната папка е 40: Как Xerox Star създаде работния плот
  • Кибер понеделник 2021: Най-добрите технологични сделки
  • › Функции срещу формули в Microsoft Excel: Каква е разликата?
  • › Какво представлява MIL-SPEC защита от изпускане?
  • › Как да намерите своя Spotify Wrapped 2021
  • › 5 уебсайта, които всеки потребител на Linux трябва да направи отметка