Trang chủ » trường học » Phân tích và quản lý tập tin, thư mục và ổ đĩa của bạn

    Phân tích và quản lý tập tin, thư mục và ổ đĩa của bạn

    Chúng tôi gần như đã hoàn thành với loạt Geek School của chúng tôi trên các công cụ SysIternals và hôm nay chúng tôi sẽ nói về tất cả các tiện ích giúp bạn xử lý các tệp và thư mục - cho dù bạn đang tìm dữ liệu ẩn hoặc xóa an toàn một tệp.

    CHUYỂN ĐỔI TRƯỜNG
    1. Công cụ SysIternals là gì và bạn sử dụng chúng như thế nào?
    2. Hiểu quy trình Explorer
    3. Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
    4. Hiểu quy trình giám sát
    5. Sử dụng Trình giám sát quy trình để khắc phục sự cố và Tìm Hacks Registry
    6. Sử dụng Autorun để xử lý các quy trình khởi động và phần mềm độc hại
    7. Sử dụng BgInfo để hiển thị thông tin hệ thống trên máy tính để bàn
    8. Sử dụng PsTools để điều khiển các PC khác từ Dòng lệnh
    9. Phân tích và quản lý tập tin, thư mục và ổ đĩa của bạn
    10. Kết hợp và sử dụng các công cụ với nhau

    Có khá nhiều tiện ích trong bộ công cụ xử lý tất cả các thứ liên quan đến tệp hoặc thư mục hoặc tìm dữ liệu mà bạn không biết là có, và có một số ít ở khía cạnh ngớ ngẩn. Dù bằng cách nào, chúng tôi sẽ bao gồm tất cả.

    Các công cụ quan trọng nhất liên quan đến tệp trong bộ công cụ cần biết có lẽ là các tiện ích Sigcheck và Streams, nhưng sẽ rất khôn ngoan khi đọc hết chúng một cách cẩn thận.

    Luồng tìm và hiển thị Luồng NTFS ẩn

    Hầu hết mọi người không biết về tính năng này, nhưng Windows sẽ cho phép bạn lưu trữ dữ liệu bên trong một ngăn ẩn trong hệ thống tệp được gọi là luồng dữ liệu thay thế. Điều này về cơ bản hoạt động bằng cách nối thêm dấu hai chấm và một khóa duy nhất vào cuối tên tệp khi tương tác với nó.

    Chẳng hạn, nếu bạn muốn ẩn một số dữ liệu trong một tệp, bạn có thể làm một cái gì đó như echo Secret> filename.txt: hidden ware và ngay cả khi bạn đã mở tệp văn bản đó trong Notepad, bạn sẽ không thấy văn bản Bí mật Bí mật mà bạn đã thêm và sẽ không có cách nào khác để biết rằng nó thậm chí còn ở đó. Trên thực tế, bạn có thể làm gần như mọi thứ bạn muốn bằng kỹ thuật này. (Hãy chắc chắn đọc bài viết của chúng tôi về chủ đề này để được giải thích đầy đủ).

    Đây cũng là kỹ thuật cho phép Windows biết một cách kỳ diệu rằng các tệp đã được tải xuống từ internet, bằng cách ẩn dữ liệu bên trong trường Zone.Identifier. Thực tế, bạn có thể xóa luồng dữ liệu thay thế này bằng tiện ích Luồng.

    Cú pháp rất đơn giản - để xem các luồng, hãy gõ như sau tại dấu nhắc:

    dòng

    Bạn cũng có thể sử dụng các luồng Stream * .exe, hoặc một cái gì đó tương tự để xem tất cả các tệp có dữ liệu luồng ẩn, nếu có. Cách nhanh nhất để thấy một cái gì đó là vào thư mục tải xuống của bạn và chạy nó ở đó.

    Để xóa một trong các luồng hoặc nhiều luồng, bạn có thể sử dụng tùy chọn -d:

    dòng -d

    Bạn cũng có thể sử dụng tùy chọn -s để đi vào đệ quy các thư mục con.

    SigCheck phân tích các tệp không được ký kỹ thuật số (như phần mềm độc hại)

    Tiện ích rất hữu ích này phân tích chữ ký số của các tệp trên hệ thống của bạn và cho bạn biết liệu chúng có hợp lệ hay thiếu chứng chỉ hay không. Bạn cũng có thể sử dụng nó để kiểm tra các tệp chống lại VirusTotal từ dòng lệnh, rất tiện lợi, vì đó là điểm thực sự của công cụ này, là tìm phần mềm độc hại.

    Cú pháp thông thường và hữu ích nhất là thêm công tắc -u, chỉ báo cáo sự cố và công tắc -e, chỉ kiểm tra các tệp thực thi. Vì vậy, bạn có thể chạy một cái gì đó như thế này để kiểm tra thư mục system32 của bạn và đảm bảo rằng tất cả các tệp ở đó được ký điện tử. Bất cứ điều gì khác nên được kiểm tra rất chặt chẽ.

    sigcheck -e -u C: \ Windows \ System32

    Bạn cũng có thể sử dụng tùy chọn -v để kiểm tra bổ sung chống lại VirusTotal, nhưng bạn sẽ cần sử dụng tùy chọn -vt lần đầu tiên để chấp nhận các điều khoản và điều kiện của họ.

    sigcheck -v -vt

    SDelete Xóa an toàn các tệp

    Nếu bạn thuộc loại hoang tưởng, bạn sẽ rất vui khi biết rằng bạn có thể xóa các tệp một cách an toàn khỏi dòng lệnh bất cứ lúc nào bạn muốn. Chỉ cần sử dụng tiện ích sdelete để đánh dấu tệp với các giao thức xóa tuân thủ DoD. (Tất nhiên NSA có thể vẫn còn một bản sao của tệp của bạn). Cú pháp rất đơn giản:

    sdelete

    Bạn cũng có thể làm sạch không gian trống trên ổ đĩa bằng cách sử dụng sdelete -c tùy chọn này sẽ mất nhiều thời gian hơn, nhưng là một tùy chọn tốt nếu bạn quên sử dụng sdelete để xóa tệp ở vị trí đầu tiên.

    Chống phân mảnh một hoặc nhiều tệp riêng lẻ

    Nếu bạn muốn chống phân mảnh chỉ một tệp hoặc một danh sách các tệp, bạn có thể sử dụng tiện ích Contig để làm việc đó. Chắc chắn, bạn không thực sự cần phải chống phân mảnh các tệp trong các phiên bản Windows hiện đại tự động làm điều đó. Và vâng, nếu bạn đang sử dụng ổ đĩa trạng thái rắn, bạn không bao giờ nên chống phân mảnh và cũng không cần. Nhưng nếu bạn hoàn toàn, tích cực, phải chống phân mảnh một tập tin duy nhất, đây là tiện ích để làm điều đó. Cú pháp rất đơn giản:

    tiếp giáp

    Nếu bạn muốn phân tích sự phân mảnh của một tệp mà không thực sự làm gì, bạn có thể sử dụng công tắc -a như hình dưới đây:

    Điều đáng chú ý là ngay cả khi một tệp bị phân mảnh, nếu tệp rất lớn và chỉ bị vỡ thành một vài mảnh lớn, về cơ bản bạn sẽ không thu được gì từ việc chống phân mảnh và sẽ lãng phí nhiều thời gian hơn với nó hơn là bạn sẽ tiết kiệm.

    du Hiển thị sử dụng đĩa

    Bạn luôn có thể nhấp chuột phải vào bất kỳ tệp hoặc thư mục nào trong Windows Explorer và chọn Thuộc tính hoặc sử dụng phím tắt ALT + ENTER để xem kích thước của tệp hoặc thư mục. Nhưng nếu bạn muốn xem dữ liệu đó từ dấu nhắc lệnh thì sao? Đó là nơi tiện ích du xuất hiện và cũng chính xác hơn một chút vì nó không tính các tệp được liên kết tượng trưng và nó cũng kiểm tra các luồng dữ liệu thay thế..

    Tùy chọn -n chỉ kiểm tra một thư mục duy nhất, mà không truy xuất vào các thư mục con, trong khi tùy chọn -v không lặp lại và cũng hiển thị từng thư mục khi nó đi qua danh sách, và tùy chọn -l (n) chỉ kiểm tra sâu các cấp độ n. Như trong, -l 2 sẽ kiểm tra sâu 2 cấp.

    PendMoves Hiển thị tập tin Di chuyển trên Khởi động lại tiếp theo

    Bạn đã bao giờ tự hỏi tại sao cài đặt ứng dụng làm cho bạn khởi động lại máy tính của bạn? Câu trả lời thường là họ muốn di chuyển một số tệp không thể di chuyển trong khi Windows đang chạy, vì vậy họ sử dụng tính năng Windows tích hợp để xử lý di chuyển hoặc xóa các tệp khi khởi động lại.

    Điều duy nhất bạn cần làm là chạy lệnh và nó sẽ xuất dữ liệu. Tại sao một bản sao của Process Explorer được lên lịch để chuyển vào thư mục Windows trong lần khởi động lại tiếp theo? Đọc tiếp.

    MoveFiles Di chuyển tệp hệ thống khi bạn khởi động lại

    Tiện ích này sử dụng tính năng Windows tích hợp để lên lịch di chuyển, xóa hoặc đổi tên tệp hoặc thư mục để nó sẽ xảy ra trong chu kỳ khởi động lại tiếp theo, trước khi Windows được tải đầy đủ. Cú pháp rất đơn giản:

    di chuyển tập tin

    Nếu bạn muốn xóa một tập tin, bạn có thể sử dụng đích trống bằng cách sử dụng dấu ngoặc kép, như di chuyển tập tin "". Như bạn có thể thấy trong ảnh chụp màn hình bên dưới, chúng tôi đã sử dụng lệnh Movefile để lên lịch một bản sao của trình thám hiểm quy trình được chuyển vào thư mục Windows để minh họa cách tất cả hoạt động.

    Giao diện tạo liên kết tượng trưng

    Windows hỗ trợ các liên kết tượng trưng cho các tệp và thư mục, do đó bạn có thể có nhiều đường dẫn trỏ đến cùng một tệp để tiết kiệm dung lượng thay vì có nhiều bản sao của một tệp. Ý tưởng tương tự như các phím tắt, ngoại trừ ở cấp độ hệ thống tệp và được tích hợp vào NTFS.

    Tiện ích Junction cho phép bạn tạo và xóa các liên kết này một cách dễ dàng. Bạn cũng có thể xóa chúng bằng cách sử dụng ngã ba -d .

    ngã ba

    Tuy nhiên, thực tế là Windows kể từ Vista đã có khả năng tạo liên kết tượng trưng bằng lệnh mklink và thay vào đó bạn cũng có thể sử dụng liên kết đó.

    FindLinks Tìm liên kết cứng đến tập tin

    Tiện ích nhỏ này tìm thấy tất cả các liên kết cứng trỏ đến một tập tin. Liên kết cứng khác với liên kết tượng trưng ở chỗ xóa một liên kết cứng không thực sự xóa tệp nếu có nhiều liên kết cứng đến tệp đó, nó chỉ xuất hiện để xóa cho đến khi bạn xóa tất cả các liên kết cứng. Khi bạn xóa liên kết cứng cuối cùng, tệp sẽ bị xóa.

    chú thích: đây thực sự có thể là một cách thú vị để đảm bảo rằng một tệp cụ thể không thực sự bị xóa bởi ai đó có thói quen xóa các tệp. Chỉ cần tạo một liên kết cứng đến tất cả các tệp mà bạn không muốn chúng bị mất.

    Trong mọi trường hợp, bạn có thể sử dụng lệnh này đủ dễ dàng:

    tìm liên kết

    Vấn đề duy nhất là Windows 7 và 8 có một lệnh tích hợp thực hiện điều tương tự. Sử dụng cái này thay thế:

    danh sách liên kết cứng fsutil

    Chú thích: Tốt hơn hết là học cách sử dụng các công cụ tích hợp khi có thể, bởi vì bạn không bao giờ biết khi nào bạn cần làm gì đó trên máy tính của người khác khi bạn không có bộ công cụ của mình.

    DiskView hiển thị cấu trúc đĩa

    Tiện ích này cho phép bạn xem cấu trúc của ổ cứng rất chi tiết và thậm chí bạn có thể phóng to tất cả các cách vào và chọn một tệp để tô sáng trong danh sách, do đó bạn có thể thấy một tệp cụ thể nằm trên ổ đĩa, và cả xem nó có bị phân mảnh hay không. Nó không hữu ích lắm cho hầu hết mọi người, nhưng hy vọng bạn đã có một kịch bản mà bạn có thể cần sử dụng nó.

    Disk2vhd biến PC thành ổ cứng ảo

    Tiện ích này tạo một bản sao của ổ cứng máy tính của bạn trong khi nó đang chạy và gói tất cả vào một tệp Ổ cứng ảo có thể được sử dụng trong một máy ảo. Và nó làm điều này trong khi PC đang chạy.

    Đúng vậy, bạn có thể tạo một máy ảo của ổ cứng trong khi máy tính của bạn đang chạy. Điều này cũng có thể thực sự hữu ích cho các tình huống mà bạn muốn thực hiện một số phân tích pháp y về một chiếc máy nhưng trên máy tính của riêng bạn - bạn chỉ có thể tạo một bản sao và sau đó khởi động nó như một máy ảo.

    Tùy chọn cho Vhdx yêu cầu Disk2vhd sử dụng định dạng tệp VHDX mới hơn thay vì định dạng tệp VHD, có một số hạn chế. Theo mặc định, Disk2vhd sẽ tạo các tệp riêng biệt cho mỗi ổ đĩa vật lý, nhưng đặt các phân vùng vào cùng một tệp. Nếu bạn chỉ đơn giản là có kế hoạch đính kèm tệp VHD này vào một máy ảo khác hoặc thậm chí chỉ cần gắn nó vào máy tính Windows thông thường, bạn có thể bỏ chọn các phân vùng mà bạn không cần trong danh sách. Nếu bạn có kế hoạch tạo ra một máy ảo từ nó, có lẽ bạn nên để mọi thứ được kiểm tra.

    Tệp đầu ra VHD thực sự có thể được đặt vào cùng một ổ đĩa mà bạn đang tạo một bản sao, nhưng chúng tôi khuyên bạn nên sử dụng ổ đĩa thứ hai nếu có thể chỉ để làm cho tất cả nhanh hơn.

    PageDefrag đã lỗi thời

    Tiện ích này cho phép bạn chống phân mảnh các tệp hệ thống trong khi khởi động, nhưng vì nó không hoạt động trên các phiên bản Windows gần đây, bạn nên bỏ qua nó.

    Đồng bộ hóa ghi dữ liệu được lưu vào bộ nhớ cache vào đĩa của bạn

    Tiện ích này chỉ đơn giản là đồng bộ tất cả dữ liệu được lưu trong bộ nhớ cache vào đĩa để đảm bảo tất cả các thay đổi tệp được ghi vào ổ đĩa và không được lưu trữ trong một số bộ đệm ở đâu đó. Tất nhiên, bạn nên sử dụng tùy chọn Xóa an toàn mỗi lần nếu bạn muốn chắc chắn rằng mình sẽ không bị mất dữ liệu khi kéo ổ đĩa flash.

    Màn hình đĩa hiển thị cho bạn Hoạt động của ổ cứng thời gian thực

    Tiện ích này cho thấy hoạt động ổ cứng thực tế xảy ra trong thời gian thực - các ngành, đọc, ghi, độ dài của dữ liệu, tất cả đều ở đó. Vấn đề duy nhất là nó không hữu ích cho hầu hết mọi người.

    Điều hữu ích hơn một chút, có lẽ là, theo dõi đĩa Khay Khay Đĩa Light mà bạn có thể chọn từ menu Tùy chọn. Khi bạn bật chế độ đó, nó sẽ di chuyển vào khay hệ thống và nhấp nháy màu đỏ để ghi, màu xanh lục để đọc hoặc giữ màu xám khi không có gì xảy ra.

    Nếu chỉ có biểu tượng phù hợp với Windows 8 tốt hơn một chút.

    VolumeID thay đổi số sê-ri của ổ đĩa

    Bạn đã bao giờ nhận thấy làm thế nào mỗi ổ đĩa có một số sê-ri trông giống như 064B-1E81 hoặc một cái gì đó không thú vị? Nếu bạn muốn thay đổi số sê-ri đó thành một cái gì đó thú vị hơn, bạn có thể làm điều đó bằng cách sử dụng tiện ích VolumeID với cú pháp này:

    âm lượng XXXX-XXXX

    Xin lưu ý rằng cú pháp yêu cầu sử dụng các ký tự thập lục phân, vì vậy bạn không thể nhập GEEK-1337 như chúng tôi đã làm, vì nó không hoạt động.

    Bài học tiếp theo

    Ngày mai chúng ta sẽ kết thúc loạt bài này bằng cách xem xét một số tiện ích nhỏ mà chúng ta đã bỏ lỡ, cũng như một số hướng dẫn về việc sử dụng tất cả các công cụ với nhau và khi nào bạn nên rút từng công cụ ra.