Почти сме готови с нашите Geek училище серия на Sysinternals инструменти, а днес ние ще говорим за всички комунални услуги, които ви помагат да се справят с файлове и папки - независимо дали сте намиране на скрити данни или сигурно изтриване на файлове.
УЧИЛИЩНА НАВИГАЦИЯИма доста няколко комунални услуги в комплекта инструменти, които се занимават с най-различни неща, които са свързани с файлове или папки или намиране на данни, които не са знаели беше там, и има няколко, които са малко по глупав страна. Така или иначе, ние ще бъдем всички тях, обхващащи.
Най-важните инструменти, свързани с файловете в комплекта, за да се опознаят вероятно са комунални услуги Sigcheck и потоци, но това би било разумно да се чете през всички тях внимателно.
Повечето хора не знаят за тази възможност, но Windows ще ви позволи да съхранявате данните вътре скрито отделение в файловата система наричат алтернативни потоци данни. Това основно се работи, като се прикрепи на дебелото черво и уникален ключ до края на името на файла, когато общуват с него.
Например, ако искате да скриете някои данни във файл, бихте могли да направите нещо подобноехо Secret> filename.txt: hiddenstuffи дори и да се отвори, че текстов файл в Notepad, няма да видите "Секретно" текста, който добавя, и няма да има друг начин да се знае, че това е още там. Всъщност, можете да направите почти всичко, което искате да използвате тази техника. (Не забравяйте да прочетете статията ни по темата за пълното обяснение).
Това е и техника, която позволява на Windows да магически се знае, че файловете са били изтеглени от интернет, като се крият данни в полето на това Zone.Identifier. Всъщност, можете да изтриете този алтернативен поток от данни, като използвате помощната потоци.
Синтаксисът е проста - да се види потоците, въведете следното в командния ред:
потоци
Можете да използвате и "потоци * .exe" или нещо подобно, за да видите всички файлове с данни скрит поток, ако има такива. Най-бързият начин да се види нещо е да се отправят във вашия сваляния директория и да го стартирате там.
За да изтриете някой от потоците или много от тях, можете да използвате опцията -d:
потоци -d
Можете да използвате опцията -s да отидат в поддиректории рекурсивно.
Това много полезна програма анализира цифрови подписи на файлове във вашата система и ви казва дали са валидни или липсващ сертификат. Можете да го използвате, за да се покажат файлове срещу VirusTotal от командния ред, което е удобно, защото това е реалната стойност на този инструмент, е да се намери на зловреден софтуер.
Нормалната и най-полезен синтаксис е да се добави -u ключа, който се отчита само проблеми и -е ключа, който проверява само изпълними файлове. Така че можете да пуснете нещо подобно, за да проверите system32 директорията и се уверете, че всички файлове там са цифрово подписани. Всичко друго трябва да се разгледа много внимателно.
sigcheck -Д-U C: \ Windows \ System32
Можете също така да използвате -v вариант за допълнителна проверка срещу VirusTotal, но вие ще трябва да използвате -vt опцията за първи път да приеме техните условия.
sigcheck -v -vt
Ако сте параноичен тип, ще се радвам, да знаете, че можете сигурно изтриване на файлове от командния ред всеки път, когато искате. Просто използвайте помощната sdelete да очистят файла с DoD съвместими заличаване протоколи. (Разбира се НСА вероятно все още има копие на файл). Синтаксисът е прост:
sdelete
Като алтернатива можете да почистите свободното място на диск с помощта наsdelete -Cопция, която ще отнеме повече време, но е добър вариант, ако сте забравили да използвате sdelete да премахнете файла на първо място.
Ако искате да дефрагментирате само един единствен файл, или списък с файлове, можете да използвате инструмента Допирен да направи точно това. Разбира се, не е наистина трябва да дефрагментирате файлове в съвременните версии на Windows, които го правят автоматично. И да, ако сте с помощта на твърд диск никога не трябва да дефрагментирате нито ви е нужно. Но ако сте абсолютно, позитивно, трябва да дефрагментирате един файл, това е програма, за да го направя. Синтаксисът е прост:
контиг
Ако искате да се анализира фрагментацията на даден файл, без всъщност да прави нещо, можете да използвате ключа -a, както е показано по-долу:
Добре е да отбележим, че дори ако даден файл е фрагментиран, ако файлът е много голям и се нарушава само в няколко големи парчета, ще получат по същество нищо от дефрагментиране и ще губи повече време притеснява с нея, отколкото бихте спаси.
Винаги можете да кликнете с десен бутон на всеки файл или папка в Windows Explorer и изберете Properties, или да използвате ALT + ENTER клавишна комбинация, за да видите размера на файл или папка. Но какво, ако искате да видите, че данните от командния ред? Това е, когато ползата дю идва, а също така е малко по-точен, защото това не се брои символични свързани файлове, и го прави проверка на алтернативни потоци данни, както добре.
Опцията -n проверява само една папка, без recursing в поддиректории, а и -v прави рекурсивно и също така показва всяка директория, докато тя преминава през списъка, а-л (п) Вариант проверки само на "N" нива в дълбочина.Както и в, -l 2 ще провери 2 нива дълбоко.
Били ли сте някога се чудехте защо инсталациите на приложенията ви карат да рестартирате компютъра си? Отговорът обикновено е, че те искат да преместят някои файлове, които не могат да се преместват около Windows докато се изпълнява, затова използват вградена функция на Windows, която се занимава с преместване или изтриване на файлове при рестартиране.
Единственото нещо, което трябва да направите, е да изпълните командата и тя ще изведе данните. Защо е насрочено копие на Process Explorer да се премести в папката Windows при следващото рестартиране? Прочетете нататък.
Тази програма използва вградената функция Windows, за да насрочи преместване, изтриване или преименуване на файл или директория, така че да се случи по време на следващия цикъл на рестартиране, преди Windows да бъде напълно зареден. Синтаксисът е много прост:
movefile
Ако искате да изтриете файл, можете да използвате празна дестинация, като използвате кавички, катодвижещ се файл "".Както можете да видите на екранната снимка по-долу, ние използвахме командата Movefile, за да насрочим копие на процеса Explorer да бъде преместено в директорията на Windows, за да илюстрира как работи всичко.
Windows поддържа символни връзки за файлове и папки, така че можете да имате повече от една точка за път към един и същи файл, за да спестите място, вместо да имате няколко копия на файл. Идеята е подобна на преките пътища, освен това е на ниво файлова система и е вградена в NTFS.
Помощната програма Junction ви позволява лесно да създавате и изтривате тези връзки. Можете също така да ги изтриете, като използватекръстовище -d.
кръстовище
Реалността обаче е, че Windows, тъй като Vista има способността да създава символни връзки с командата mklink, а може и да го използвате вместо това.
Тази малка програма намира всички твърди връзки, сочещи към файл. Твърдите връзки са различни от символните връзки, тъй като изтриването на една твърда връзка всъщност не изтрива файла, ако има повече твърди линкове към този файл, просто изглежда, че го изтрива, докато не изтриете всички твърди връзки. След като изтриете последната твърда връзка, файлът ще бъде изтрит.
Забележка: това всъщност може да бъде интересен начин да се уверите, че даден файл не е наистина изтрит от някой, който има навика да изтрива файлове. Просто създайте твърда връзка към всички файлове, които не искате да загубят.
Във всеки случай, можете да използвате тази команда достатъчно лесно:
findlinks
Единственият проблем е, че Windows 7 и 8 имат вградена команда, която прави същото. Използвайте това вместо това:
fsutil списък с твърди връзки
Забележка:Винаги е по-добре да се научите да използвате вградените неща, когато е възможно, защото никога не знаете кога ще трябва да направите нещо на компютъра на някой друг, когато не разполагате с инструментариума си.
Тази програма ви дава възможност да видите подробно структурата на твърдия диск и дори можете да увеличите мащаба и да изберете файл, който да се подчертае в списъка, така че да можете да видите къде е отделен файл на устройството и също вижте дали е фрагментиран или не. Това не е ужасно полезно за повечето хора, но се надяваме, че имате сценарий, в който може да се наложи да го използвате.
Тази помощна програма създава клонинг на твърдия диск на компютъра ви, докато работи, и го обединява във виртуален твърд диск, който може да се използва във виртуална машина. И това става докато компютърът работи.
Точно така, можете да създадете виртуална машина на твърдия си диск, докато компютърът ви работи. Това също може да бъде наистина полезно за сценариите, където искате да направите някакъв съдебен анализ на машина, но на собствения си компютър - можете просто да създадете клонинг и след това да го заредите като виртуална машина.
Опцията за Vhdx казва на Disk2vhd да използва по-новия VHDX файлов формат вместо файловия формат VHD, който има редица ограничения. По подразбиране Disk2vhd ще създаде отделни файлове за всяко физическо устройство, но ще постави дялове в един и същ файл. Ако просто планира да прикачите този VHD файл в друга виртуална машина, или дори само да го монтирате на регулярна Windows компютър, можете да махнете отметката от дялове, които не са ви нужни в списъка. Ако възнамерявате да направите виртуална машина извън нея, вероятно трябва да оставите всичко проверено.
Изходният файл на VHD може действително да бъде поставен на едно и също устройство, на което правите копие, но бихме препоръчали да използвате второ устройство, ако е възможно, само за да стане всичко по-бързо.
Тази програма ви позволява да дефрагментирате системните файлове по време на зареждане, но тъй като не работи на последните версии на Windows, трябва да го пропуснете.
Тази програма просто синхронизира всички кеширани данни на диска, за да се увери, че всички промени в файловете са написани на диска и не са съхранени някъде в буфера. Разбира се, трябва да използвате опцията Безопасно премахване всеки път, ако искате да сте сигурни, че няма да загубите данни, когато дърпате флаш устройство.
Тази програма показва действителната активност на твърдия диск, която се случва в реално време - сектори, чете, пише, дължината на данните, всичко е там. Единственият проблем е, че това не е ужасно полезно за повечето хора.
Какво е малко по-полезно, може би, е дискът за мониторинг "Tray Disk Light", който можете да изберете от менюто Options. След като активирате този режим, той ще се премести в системната област и ще мига в червено за запис, зелен за четене или ще остане сив, когато нищо не се случва.
Ако само иконата съответства на Windows 8 малко по-добре.
Забелязали ли сте някога как всяко устройство има сериен номер, който прилича на 064B-1E81 или нещо също толкова неудобно? Ако искате да промените този сериен номер на нещо по-забавно, можете да го направите, като използвате инструмента VolumeID с този синтаксис:
volumeid XXXX-XXXX
Моля, имайте предвид, че синтаксисът изисква използване на шестнадесетични знака, така че не можете да пишете в Geek-1337, както направихме, защото тя просто няма да работи.
Утре ще приключим серията с поглед към някои от малкото инструменти, които ни липсваха, както и някои насоки за използването на всички инструменти заедно и когато трябва да извадите всеки инструмент.
