ШКОЛЬНАЯ НАВИГАЦИЯ
- Каковы инструменты SysInternals и как их использовать?
- Понимание Process Explorer
- Использование Process Explorer для устранения неполадок и диагностики
- Понимание Process Monitor
- Использование Process Monitor для устранения неполадок и поиска файлов реестра
- Использование автозапуска для работы с процессами запуска и вредоносными программами
- Использование BgInfo для отображения информации о системе на рабочем столе
- Использование PsTools для управления другими ПК из командной строки
- Анализ и управление файлами, папками и дисками
- Объединение и использование инструментов вместе
В наборе инструментов есть немало утилит, которые имеют дело со всеми вещами, связанными с файлами или папками, или найти данные, которые вы не знали, и есть несколько, которые немного глупые. В любом случае, мы будем покрывать их все.
Наиболее важными инструментами, связанными с файлами в наборе, чтобы узнать, вероятно, являются утилиты Sigcheck и Streams, но было бы разумно внимательно их прочитать.
Streams Находит и отображает скрытые потоки NTFS
Большинство людей не знают об этой функции, но Windows позволит вам хранить данные в скрытом отсеке в файловой системе, называемой чередующимися потоками данных. Это в основном работает, добавляя двоеточие и уникальный ключ в конец имени файла при взаимодействии с ним.
Например, если вы хотите скрыть некоторые данные в файле, вы можете сделать что-то вродеecho Secret> filename.txt: скрытыеи даже если вы откроете этот текстовый файл в «Блокноте», вы не увидите текст «Секретный», который вы добавили, и не было другого способа узнать, что он даже там. Фактически, вы можете делать почти все, что хотите, используя эту технику. (Обязательно прочитайте нашу статью на эту тему для полного объяснения).
Это также метод, который позволяет Windows узнать о том, что файлы были загружены из Интернета, скрывая данные в поле Zone.Identifier. Фактически вы можете удалить этот альтернативный поток данных с помощью утилиты Streams.
Синтаксис прост - чтобы увидеть потоки, введите в командной строке следующее:
streams
Вы также можете использовать «streams *.exe» или что-то подобное, чтобы увидеть все файлы со скрытыми данными потока, если таковые имеются. Самый быстрый способ увидеть что-то - это зайти в каталог загрузок и запустить его там.
Чтобы удалить один из потоков или многих из них, вы можете использовать опцию -d:
streams -d
Вы также можете использовать опцию -s для рекурсивного перехода в подкаталоги.
SigCheck анализирует файлы, которые не подписываются цифрой (например, вредоносное ПО)
Эта полезная утилита анализирует цифровые подписи файлов в вашей системе и сообщает, являются ли они действительными или отсутствуют сертификат. Вы также можете использовать его для проверки файлов с помощью VirusTotal из командной строки, что удобно, потому что это реальная точка этого инструмента - найти вредоносное ПО.
Обычный и наиболее полезный синтаксис заключается в том, чтобы добавить ключ -u, который сообщает только о проблемах, и ключ -e, который проверяет только исполняемые файлы. Таким образом, вы можете запустить что-то подобное, чтобы проверить свой каталог system32 и убедиться, что все файлы там имеют цифровую подпись. Все остальное следует рассматривать очень внимательно.
sigcheck -e -u C:WindowsSystem32
Вы также можете использовать опцию -v для дополнительной проверки с VirusTotal, но вам нужно будет использовать опцию -vt в первый раз, чтобы принять их условия.
sigcheck -v -vt
SDelete надежно удаляет файлы
Если вы являетесь параноидальным типом, вы будете рады узнать, что вы можете безопасно стереть файлы из командной строки в любое время. Просто используйте утилиту sdelete, чтобы ударить файл с протоколами удаления, совместимыми с DoD. (Конечно, у NSA, вероятно, все еще есть копия вашего файла). Синтаксис прост:
sdelete
Вы также можете очистить свободное место на диске, используяsdelete -cвариант, который займет больше времени, но является хорошим вариантом, если вы забыли использовать sdelete для удаления файла в первую очередь.
Contig Дефрагментирует один или несколько отдельных файлов
Если вы хотите дефрагментировать только один файл или список файлов, вы можете использовать утилиту Contig для этого. Конечно, вам не нужно дефрагментировать файлы в современных версиях Windows, которые делают это автоматически. И да, если вы используете твердотельный диск, вы никогда не должны дефрагментировать и не нуждаетесь. Но если вы абсолютно, положительно, должны дефрагментировать один файл, это утилита для этого. Синтаксис прост:
contig
Если вы хотите проанализировать фрагментацию файла, фактически ничего не делая, вы можете использовать ключ -a, как показано ниже:
Стоит отметить, что даже если файл фрагментирован, если файл очень большой и только разбит на несколько больших частей, вы практически ничего не получите от дефрагментации и потратите больше времени на то, чтобы с ним справиться, чем сэкономить.
du Показывает использование диска
Вы всегда можете щелкнуть правой кнопкой мыши по любому файлу или папке в проводнике Windows и выбрать «Свойства» или с помощью сочетания клавиш ALT + ENTER, чтобы увидеть размер файла или папки.Но что, если вы хотите увидеть эти данные из командной строки? Вот тут и появляется утилита du, и она также немного более точна, потому что она не учитывает символические связанные файлы, а также проверяет альтернативные потоки данных.
PendMoves отображает файлы, переходящие на следующую перезагрузку
Вы когда-нибудь задумывались, почему приложения устанавливают перезагрузку компьютера? Ответ, как правило, заключается в том, что они хотят перемещать некоторые файлы, которые нельзя перемещать во время работы Windows, поэтому они используют встроенную функцию Windows, которая обрабатывает перемещение или удаление файлов при перезагрузке.
Единственное, что вам нужно сделать, это запустить команду, и она выведет данные. Почему копия Process Explorer запланирована для перехода в папку Windows при следующей перезагрузке? Читать дальше.
MoveFiles перемещает системные файлы при перезагрузке
Эта утилита использует встроенную функцию Windows, чтобы запланировать перемещение, удаление или переименование файла или каталога, чтобы это произошло во время следующего цикла перезагрузки, прежде чем Windows будет полностью загружена. Синтаксис очень прост:
movefile
Если вы хотите удалить файл, вы можете использовать пустой пункт назначения, используя кавычки, напримерMoveFile Как вы можете видеть на скриншоте ниже, мы использовали команду Movefile, чтобы запланировать копию проводника процессов для перемещения в каталог Windows, чтобы проиллюстрировать, как все это работает.
Junction создает символические ссылки
Windows поддерживает символические ссылки для файлов и папок, поэтому вы можете иметь более одного пути к одному и тому же файлу для экономии места вместо нескольких копий файла. Идея похожа на ярлыки, за исключением того, что она находится на уровне файловой системы и встроена в NTFS.
Утилита Junction позволяет легко создавать и удалять эти ссылки. Вы также можете удалить их, используясоединение -d
junction
Реальность, однако, заключается в том, что Windows с Vista имела возможность создавать символические ссылки с помощью команды mklink, и вы можете использовать ее вместо этого.
FindLinks находит жесткие ссылки на файлы
Эта небольшая утилита находит все жесткие ссылки, указывающие на файл. Жесткие ссылки отличаются от символических ссылок тем, что удаление одной жесткой ссылки фактически не удаляет файл, если есть более жесткие ссылки на этот файл, он просто удаляет его, пока вы не удалите все жесткие ссылки. После удаления окончательной жесткой ссылки файл будет удален.
Заметка: это действительно может быть интересным способом убедиться, что конкретный файл не удаляется кем-то, у которого есть привычка удалять файлы. Просто создайте жесткую ссылку на все файлы, которые вы не хотите потерять.
В любом случае вы можете легко использовать эту команду:
findlinks
Единственная проблема заключается в том, что Windows 7 и 8 имеют встроенную команду, которая делает то же самое. Вместо этого используйте это:
fsutil hardlink list
Замечания:Всегда лучше научиться использовать встроенный материал, когда это возможно, потому что вы никогда не знаете, когда вам нужно что-то делать на чужом компьютере, когда у вас нет своего инструментария.
DiskView отображает структуру диска
Эта утилита позволяет вам подробно просмотреть структуру вашего жесткого диска, и вы можете даже полностью увеличить масштаб и выбрать файл для выделения в списке, чтобы вы могли видеть, где находится конкретный файл на диске, а также посмотрите, фрагментирована она или нет. Это не очень полезно для большинства людей, но, надеюсь, у вас есть сценарий, где вам может понадобиться его использовать.
Disk2vhd превращает ПК в виртуальные жесткие диски
Эта утилита создает клон жесткого диска вашего компьютера во время его работы и объединяет все его в файл виртуального жесткого диска, который можно использовать на виртуальной машине. И это происходит во время работы ПК.
Правильно, вы можете создать виртуальную машину вашего жесткого диска во время работы вашего компьютера. Это также может быть очень полезно для сценариев, в которых вы хотите провести криминалистический анализ машины, но на своем собственном компьютере - вы можете просто создать клон, а затем загрузить его как виртуальную машину.
Опция для Vhdx сообщает Disk2vhd использовать более новый формат файла VHDX вместо формата файла VHD, который имел ряд ограничений. По умолчанию Disk2vhd собирается создавать отдельные файлы для каждого физического диска, но помещает разделы в один и тот же файл. Если вы просто планируете прикреплять этот файл VHD к другой виртуальной машине или даже просто монтировать на обычном компьютере под управлением Windows, вы можете снять отметки с разделов, которые вам не нужны в списке. Если вы планируете выпустить виртуальную машину, вы должны, вероятно, оставить все проверенным.
PageDefrag устарел
Эта утилита позволила вам дефрагментировать системные файлы во время загрузки, но поскольку она не работает в последних версиях Windows, вам следует пропустить ее.
Синхронизация записывает кешированные данные на ваш диск
Эта утилита просто синхронизирует все кэшированные данные с диском, чтобы убедиться, что все изменения файла записаны на диск и нигде не хранятся в каком-то буфере. Разумеется, вы должны использовать параметр Safely Remove каждый раз, если хотите, чтобы вы не потеряли данные при извлечении флеш-накопителя.
Дисковый монитор показывает вам активность жесткого диска в реальном времени
Эта утилита показывает реальную активность жесткого диска, происходящую в реальном времени: сектора, чтение, запись, длина данных, все это есть.Единственная проблема заключается в том, что это не очень полезно для большинства людей.
VolumeID Изменяет серийный номер накопителя
Вы когда-нибудь замечали, как каждый диск имеет серийный номер, похожий на 064B-1E81 или что-то столь же неинтересное? Если вы хотите изменить этот серийный номер на что-то более увлекательное, вы можете сделать это, используя утилиту VolumeID с этим синтаксисом:
volumeid XXXX-XXXX
Обратите внимание, что синтаксис требует использования шестнадцатеричных символов, поэтому вы не можете вводить GEEK-1337, как мы, потому что это просто не сработает.
Следующий урок
Завтра мы собираемся завершить серию взглядом на некоторые из небольших утилит, которые мы пропустили, а также некоторые рекомендации по использованию всех инструментов вместе, и когда вы должны вытащить каждый инструмент.