Startpagina » school- » Analyse en beheer van uw bestanden, mappen en stations

    Analyse en beheer van uw bestanden, mappen en stations

    We zijn bijna klaar met onze Geek School-serie over SysInternals-tools en vandaag gaan we het hebben over alle hulpprogramma's die u helpen met bestanden en mappen om te gaan - of u nu verborgen gegevens ophaalt of een bestand veilig verwijdert.

    SCHOOLNAVIGATIE
    1. Wat zijn de SysInternals-hulpmiddelen en hoe gebruikt u ze??
    2. Procesverkenner begrijpen
    3. Procesverkenner gebruiken om problemen op te lossen en te stellen
    4. Procesmonitor begrijpen
    5. Procesmonitor gebruiken om registerhacks op te sporen en te vinden
    6. Autoruns gebruiken om opstartprocessen en malware aan te pakken
    7. BGInfo gebruiken om systeeminformatie op het bureaublad weer te geven
    8. PsTools gebruiken om andere pc's vanaf de opdrachtregel te besturen
    9. Analyse en beheer van uw bestanden, mappen en stations
    10. Inpakken en de hulpmiddelen samen gebruiken

    Er zijn nogal wat hulpprogramma's in de toolkit die omgaan met allerlei dingen die te maken hebben met bestanden of mappen of met het vinden van gegevens waarvan je niet wist dat ze er waren, en er zijn er een paar die een beetje dom zijn. Hoe dan ook, we behandelen ze allemaal.

    De belangrijkste bestandsgerelateerde hulpmiddelen in de kit om te weten zijn waarschijnlijk de hulpprogramma's Sigcheck en Streams, maar het zou verstandig zijn ze allemaal zorgvuldig te lezen.

    Streams vindt en toont Verborgen NTFS-streams

    De meeste mensen weten niets over deze functie, maar Windows laat u gegevens opslaan in een verborgen compartiment in het bestandssysteem dat alternatieve gegevensstromen wordt genoemd. Dit werkt in principe door een dubbele punt en een unieke sleutel aan het einde van een bestandsnaam toe te voegen wanneer er interactie mee is.

    Als u bijvoorbeeld bepaalde gegevens in een bestand wilt verbergen, kunt u iets als doen echo Secret> filename.txt: hiddenstuff en zelfs als u dat tekstbestand in Kladblok opende, zou u de "Geheime" tekst niet zien die u hebt toegevoegd, en er zou geen andere manier zijn om te weten dat het zelfs daar was. In feite kunt u bijna alles doen wat u maar wilt met deze techniek. (Lees ons artikel over het onderwerp voor de volledige uitleg).

    Dit is ook de techniek waarmee Windows op magische wijze weet dat bestanden zijn gedownload van internet door gegevens te verbergen in het veld Zone.Identifier. U kunt deze alternatieve gegevensstroom zelfs verwijderen met behulp van het hulpprogramma Streams.

    De syntaxis is eenvoudig: als u de streams wilt zien, typt u het volgende achter de prompt:

    streams

    U kunt ook "streams * .exe" of iets dergelijks gebruiken om alle bestanden met verborgen streamgegevens te bekijken, als die er zijn. De snelste manier om iets te zien, is door je downloads directory binnen te gaan en het daar uit te voeren.

    Als u een van de streams of een groot aantal ervan wilt verwijderen, gebruikt u de optie -d:

    streams -d

    U kunt ook de -s optie gebruiken om recursief naar subdirectories te gaan.

    SigCheck analyseert bestanden die niet digitaal zijn ondertekend (zoals malware)

    Dit zeer nuttige hulpprogramma analyseert de digitale handtekeningen van bestanden op uw systeem en vertelt u of ze geldig zijn of een certificaat missen. Je kunt het ook gebruiken om bestanden te controleren tegen VirusTotal vanaf de commandoregel, wat handig is, omdat dat het echte punt van deze tool is om malware te vinden.

    De normale en meest bruikbare syntaxis is om de schakeloptie -u toe te voegen, die alleen problemen meldt, en de schakeloptie -e, die alleen uitvoerbare bestanden controleert. Dus je zou zoiets kunnen doen om je system32 directory te controleren en ervoor te zorgen dat alle bestanden daar digitaal ondertekend zijn. Al het andere moet van zeer nabij worden bekeken.

    sigcheck -e -u C: \ Windows \ System32

    U kunt ook de optie -v gebruiken voor een extra controle tegen VirusTotal, maar u moet de optie -vt de eerste keer gebruiken om hun algemene voorwaarden te accepteren.

    sigcheck -v -vt

    SDelete verwijdert veilig bestanden

    Als u het paranoïde type bent, zult u blij zijn dat u veilig bestanden kunt wissen van de opdrachtregel wanneer u maar wilt. Gebruik gewoon het hulpmiddel sdelete om het bestand met DoD-compatibele verwijderingsprotocollen te meppen. (Natuurlijk heeft de NSA waarschijnlijk nog steeds een kopie van uw bestand). De syntaxis is eenvoudig:

    SDelete

    U kunt ook de vrije ruimte op een station met behulp van de sdelete -c optie, wat langer zal duren, maar het is een goede optie als je vergat om sdelete te gebruiken om het bestand in de eerste plaats te verwijderen.

    Contig defragmenteert één of meerdere individuele bestanden

    Als u slechts één bestand of een lijst met bestanden wilt defragmenteren, kunt u het hulpprogramma Contig gebruiken om dat te doen. Natuurlijk hoef je niet echt bestanden te defragmenteren in moderne versies van Windows die het automatisch doen. En ja, als je een solid-state schijf gebruikt, zou je nooit moeten defragmenteren en dat moet ook. Maar als u absoluut, positief, een enkel bestand moet defragmenteren, is dit het hulpprogramma om het te doen. De syntaxis is eenvoudig:

    contig

    Als je de fragmentatie van een bestand wilt analyseren zonder echt iets te doen, kun je de schakeloptie -a gebruiken zoals hieronder wordt weergegeven:

    Het is de moeite waard om op te merken dat, zelfs als een bestand gefragmenteerd is, als het bestand erg groot is en slechts in een paar grote stukken wordt onderverdeeld, je in essentie niets zult krijgen van defragmenteren en meer tijd hebt verspild met moeite dan je zou redden.

    du toont schijfgebruik

    U kunt altijd met de rechtermuisknop op een bestand of map klikken in Windows Verkenner en Eigenschappen kiezen of de sneltoets ALT + ENTER gebruiken om de grootte van een bestand of map te bekijken. Maar wat als u die gegevens van de bevelherinnering wilt zien? Dat is waar het hulpprogramma du komt, en het is ook een beetje nauwkeuriger omdat het symbolische gekoppelde bestanden niet telt, en het controleert ook alternatieve datastreams.

    De optie -n controleert slechts een enkele map, zonder terug te vatten in submappen, terwijl de optie -v recurseert en ook elke map weergeeft terwijl deze door de lijst gaat en de optie -l (n) alleen "n" -niveaus diep controleert. Zoals in, -l 2 zou 2 niveaus diep controleren.

    PendMoves Geeft bestanden weer Verhuizen aan Volgende Reboot

    Heb je je ooit afgevraagd waarom het installeren van programma's je reboot op je computer? Het antwoord is meestal dat ze een aantal bestanden willen verplaatsen die niet kunnen worden verplaatst terwijl Windows wordt uitgevoerd, dus ze gebruiken een ingebouwde Windows-functie die bestanden verplaatst of verwijdert bij het opnieuw opstarten.

    Het enige dat u hoeft te doen is de opdracht uitvoeren en de gegevens uitvoeren. Waarom is een kopie van Process Explorer gepland om bij het volgende opnieuw opstarten naar de Windows-map te gaan? Lees verder.

    MoveFiles Verplaatst systeembestanden wanneer u herstart

    Dit hulpprogramma gebruikt de ingebouwde Windows-functie om een ​​verplaatsing, verwijdering of hernoeming van een bestand of map te plannen, zodat dit gebeurt tijdens de volgende keer opnieuw opstarten, voordat Windows volledig is geladen. De syntaxis is heel eenvoudig:

    MoveFile

    Als u een bestand wilt verwijderen, kunt u een lege bestemming gebruiken met aanhalingstekens, zoals movefile "". Zoals je kunt zien in de onderstaande schermafbeelding, hebben we de opdracht Movefile gebruikt om een ​​kopie van procesverkenner te plannen die naar de Windows-map moet worden verplaatst om te illustreren hoe het allemaal werkt.

    Junction maakt symbolische koppelingen

    Windows ondersteunt symbolische koppelingen voor bestanden en mappen, zodat u meer dan één pad naar hetzelfde bestand kunt hebben om ruimte te besparen in plaats van meerdere exemplaren van een bestand. Het idee is vergelijkbaar met snelkoppelingen, behalve dat dit op bestandsniveau is en is ingebouwd in NTFS.

    Met het hulpprogramma Junction kunt u eenvoudig deze koppelingen maken en verwijderen. Je kunt ze ook verwijderen met knooppunt -d .

    knooppunt

    De realiteit is echter dat Windows sinds Vista de mogelijkheid heeft gehad om symlinks te maken met de opdracht mklink, en je kunt net zo goed die ene in plaats daarvan gebruiken.

    FindLinks vindt harde koppelingen naar bestanden

    Dit kleine hulpprogramma vindt alle harde koppelingen naar een bestand. Harde koppelingen verschillen van symbolische koppelingen doordat het verwijderen van een harde koppeling het bestand niet daadwerkelijk verwijdert als er meer harde koppelingen naar dat bestand zijn, maar het lijkt te verwijderen totdat u alle harde koppelingen hebt verwijderd. Nadat u de laatste harde koppeling hebt verwijderd, wordt het bestand verwijderd.

    Notitie: dit zou eigenlijk een interessante manier kunnen zijn om ervoor te zorgen dat een bepaald bestand niet echt wordt verwijderd door iemand die de gewoonte heeft om bestanden te verwijderen. Maak gewoon een harde koppeling naar alle bestanden waarvan u niet wilt dat ze verliezen.

    In elk geval kunt u dit commando gemakkelijk genoeg gebruiken:

    findlinks

    Het enige probleem is dat Windows 7 en 8 een ingebouwde opdracht hebben die hetzelfde doet. Gebruik deze in plaats daarvan:

    fsutil hardlink lijst

    Notitie: Het is altijd beter om te leren om de ingebouwde dingen te gebruiken wanneer dat mogelijk is, omdat je nooit weet wanneer je iets op de computer van iemand anders moet doen als je geen toolkit hebt.

    DiskView geeft schijfstructuur weer

    Met dit hulpprogramma kun je de structuur van je harde schijf in detail bekijken en kun je zelfs helemaal inzoomen en een bestand uitkiezen om in de lijst te markeren, zodat je kunt zien waar een bepaald bestand zich op de schijf bevindt, en ook kijk of het gefragmenteerd is of niet. Het is niet erg nuttig voor de meeste mensen, maar hopelijk heb je een scenario waarin je het misschien zou moeten gebruiken.

    Disk2vhd Verandert pc's in virtuele harde schijven

    Dit hulpprogramma maakt een kloon van de harde schijf van uw computer terwijl deze wordt uitgevoerd en bundelt deze allemaal in een virtueel hardeschijfbestand dat in een virtuele machine kan worden gebruikt. En het doet dit terwijl de pc draait.

    Dat klopt, je kunt een virtuele machine van je harde schijf maken terwijl je computer draait. Dit kan ook erg handig zijn voor scenario's waarbij u forensische analyses van een machine wilt uitvoeren, maar dan op uw eigen computer - u kunt in plaats daarvan een kloon maken en deze vervolgens als een virtuele machine opstarten.

    De optie voor Vhdx vertelt Disk2vhd om het nieuwere VHDX-bestandsformaat te gebruiken in plaats van het VHD-bestandsformaat, dat een aantal beperkingen had. Standaard zal Disk2vhd aparte bestanden maken voor elk fysiek station, maar partities in hetzelfde bestand plaatsen. Als u eenvoudig van plan bent om dit VHD-bestand aan een andere virtuele machine te koppelen, of het zelfs op een normale Windows-computer wilt monteren, kunt u de vinkjes verwijderen die u niet nodig hebt in de lijst. Als u van plan bent er een virtuele machine van te maken, moet u waarschijnlijk alles laten controleren.

    Het VHD-uitvoerbestand kan eigenlijk op dezelfde schijf worden geplaatst waar u een kopie van maakt, maar we raden aan om zo mogelijk een tweede schijf te gebruiken om het allemaal sneller te laten gaan.

    PageDefrag is Obsolete

    Met dit hulpprogramma kon je systeembestanden defragmenteren tijdens het opstarten, maar aangezien het niet werkt op recente versies van Windows, moet je het overslaan.

    Sync schrijft gegevens in cache naar uw schijf

    Met dit hulpprogramma worden alle gegevens in de cache eenvoudigweg naar de schijf gesynchroniseerd om ervoor te zorgen dat alle bestandswijzigingen naar de schijf worden geschreven en niet ergens in een buffer worden opgeslagen. Natuurlijk moet u de optie Veilig verwijderen elke keer gebruiken als u zeker wilt weten dat u geen gegevens verliest wanneer u aan een flashstation trekt.

    Disk Monitor toont u real-time activiteit van de harde schijf

    Dit hulpprogramma toont de werkelijke activiteit van de harde schijf in realtime: sectoren, lezen, schrijven, de lengte van de gegevens, alles is aanwezig. Het enige probleem is dat het voor de meeste mensen niet erg nuttig is.

    Wat is een beetje nuttiger, misschien is de schijfcontrole "Tray Disk Light" die u kunt kiezen in het menu Opties. Zodra u die modus hebt ingeschakeld, wordt deze in het systeemvak geplaatst en knippert rood voor schrijven, groen voor lezen of grijs blijven als er niets gebeurt.

    Als alleen het pictogram overeenkomt met Windows 8 een beetje beter.

    VolumeID Wijzigt het serienummer van de schijf

    Is het je ooit opgevallen hoe elke schijf een serienummer heeft dat lijkt op 064B-1E81 of iets dat even oninteressant is? Als u dat serienummer wilt wijzigen in iets leukers, kunt u het doen met het hulpprogramma VolumeID met deze syntaxis:

    volumeid XXXX-XXXX

    Houd er rekening mee dat de syntaxis hexadecimale tekens vereist, dus u kunt GEEK-1337 niet typen zoals we deden, omdat het gewoon niet werkt.

    Volgende les

    Morgen gaan we de serie afronden met een blik op enkele van de kleine hulpprogramma's die we hebben gemist, evenals enige aanwijzingen voor het samen gebruiken van alle hulpprogramma's en wanneer u elke tool moet verwijderen.