УЧИЛИЩНА НАВИГАЦИЯ
- Какви са SysInternals Tools и как ги използвате?
- Разбиране на процеса Explorer
- Използване на Process Explorer за отстраняване на неизправности и диагностика
- Разбиране на процеса на наблюдение
- Използване на процесния монитор за отстраняване на неизправности и откриване на системни хакове
- Използване на автомати за работа с процеси на стартиране и злонамерен софтуер
- Използване на BgInfo за показване на информация за системата на работния плот
- Използване на PsTools за управление на други компютри от командния ред
- Анализиране и управление на вашите файлове, папки и дискове
- Обвиване и използване на инструментите заедно
Има доста полезни инструменти в инструментариума, които се занимават с всякакви неща, свързани с файлове или папки или намирането на данни, които не сте знаели, че е там, и има няколко, които са малко по глупава страна. Така или иначе, ще ги покрием.
Най-важните инструменти, свързани с файловете в комплекта, за да се опознаят, вероятно са помощните програми "Сигчек" и "Потоци", но би било разумно да ги прочетете внимателно.
Потоци намира и показва скрити NTFS потоци
Повечето хора не знаят за тази функция, но Windows ще ви позволи да съхранявате данни в скрито отделение във файловата система, наречена алтернативни потоци от данни. Това основно работи, като добавите двоеточие и уникален ключ към края на име на файл, когато взаимодействате с него.
Например, ако искате да скриете някои данни във файл, можете да направите нещо подобноecho Secret> filename.txt: hiddenstuffи дори ако отворите този текстов файл в Notepad, няма да видите текста "Secret", който сте добавили, и няма да има друг начин да се знае, че той дори е бил там. Всъщност можете да направите почти всичко, което искате, като използвате тази техника. (Не забравяйте да прочетете статията ни по темата за пълното обяснение).
Това е и техника, която позволява на Windows да магически знае, че файловете са изтеглени от интернет, като скрива данни в полето Zone.Identifier. Всъщност можете да изтриете този алтернативен поток от данни, като използвате помощната програма Потоци.
Синтаксисът е прост - за да видите потоците, въведете следното в подкана:
streams
Можете също така да използвате "потоци *.exe" или нещо подобно, за да видите всички файлове със скрити данни за потока, ако има такива. Най-бързият начин да видите нещо е да отидете в директорията за изтегляне и да я изпълните там.
streams -d
Можете също така да използвате опцията -s, за да отидете в поддиректории рекурсивно.
SigCheck анализира файлове, които не са подписани цифрово (като злонамерен софтуер)
Тази много полезна помощна програма анализира цифровите подписи на файлове във вашата система и ви казва дали те са валидни или липсва сертификат. Можете също така да го използвате, за да проверявате файловете от VirusTotal от командния ред, което е удобно, защото това е истинската точка на този инструмент, е да намерите злонамерен софтуер.
Нормалният и най-полезен синтаксис е да добавите превключвателя -u, който съобщава само за проблеми, и превключвателя -e, който проверява само изпълнимите файлове. Така че можете да изпълните нещо подобно, за да проверите системната директория 32 и да се уверите, че всички файлове там са подписани дигитално. Всичко друго трябва да бъде разгледано много внимателно.
sigcheck -e -u C:WindowsSystem32
Можете също така да използвате опцията -v за допълнителна проверка срещу VirusTotal, но ще трябва да използвате опцията -vt за първи път, за да приемете техните условия.
sigcheck -v -vt
SDelete сигурно изтрива файлове
Ако сте параноичен тип, ще се радвате да знаете, че можете сигурно да изтриете файлове от командния ред по всяко време, колкото искате. Просто използвайте помощната програма за изчистване на файла с протоколи за изтриване съвместими с DoD. (Разбира се, NSA вероятно има копие от файла ви). Синтаксисът е прост:
sdelete
Можете алтернативно да почистите свободното място на устройство, като използватеsdelete -cопция, която ще отнеме повече време, но е добра опция, ако сте забравили да използвате sdelete, за да премахнете файла на първо място.
Contig дефрагментира един или много отделни файлове
Ако искате да дефрагментирате само един файл или списък с файлове, можете да използвате инструмента Contig, за да направите точно това. Разбира се, в действителност не е нужно да дефрагментирате файлове в съвременните версии на Windows, които го правят автоматично. И да, ако използвате SSD диск, никога не трябва да дефрагментирате, нито пък трябва. Но ако абсолютно, положително, трябва да дефрагментирате един файл, това е полезността да го направите. Синтаксисът е прост:
contig
Ако искате да анализирате разпокъсаността на даден файл, без всъщност да правите нищо, можете да използвате превключвателя -a, както е показано по-долу:
du Показва използването на диска
Винаги можете да кликнете с десен бутон на мишката върху всеки файл или папка в Windows Explorer и да изберете Properties или да използвате клавишната комбинация ALT + ENTER, за да видите размера на файл или папка.Но какво, ако искате да видите тези данни от командния ред? Това е мястото, където дю приложението идва и е малко по-точна, защото не брои символично свързани файлове, а също така проверява и алтернативни потоци от данни.
PendMoves Показва файлове, движещи се при следващото рестартиране
Били ли сте някога се чудехте защо инсталациите на приложенията ви карат да рестартирате компютъра си? Отговорът обикновено е, че те искат да преместят някои файлове, които не могат да се преместват около Windows докато се изпълнява, затова използват вградена функция на Windows, която се занимава с преместване или изтриване на файлове при рестартиране.
Единственото нещо, което трябва да направите, е да изпълните командата и тя ще изведе данните. Защо е насрочено копие на Process Explorer да се премести в папката Windows при следващото рестартиране? Прочетете нататък.
MoveFiles премества системните файлове, когато рестартирате
Тази програма използва вградената функция Windows, за да насрочи преместване, изтриване или преименуване на файл или директория, така че да се случи по време на следващия цикъл на рестартиране, преди Windows да бъде напълно зареден. Синтаксисът е много прост:
movefile
Ако искате да изтриете файл, можете да използвате празна дестинация, като използвате кавички, катоmovefile Както можете да видите на екранната снимка по-долу, ние използвахме командата Movefile, за да насрочим копие на процеса Explorer да бъде преместено в директорията на Windows, за да илюстрира как работи всичко.
Junction създава символни връзки
Windows поддържа символни връзки за файлове и папки, така че можете да имате повече от една точка за път към един и същи файл, за да спестите място, вместо да имате няколко копия на файл. Идеята е подобна на преките пътища, освен това е на ниво файлова система и е вградена в NTFS.
Помощната програма Junction ви позволява лесно да създавате и изтривате тези връзки. Можете също така да ги изтриете, като използватекръстовище -d
junction
Реалността обаче е, че Windows, тъй като Vista има способността да създава символни връзки с командата mklink, а може и да го използвате вместо това.
FindLinks намира твърди връзки към файлове
Тази малка програма намира всички твърди връзки, сочещи към файл. Твърдите връзки са различни от символните връзки, тъй като изтриването на една твърда връзка всъщност не изтрива файла, ако има повече твърди линкове към този файл, просто изглежда, че го изтрива, докато не изтриете всички твърди връзки. След като изтриете последната твърда връзка, файлът ще бъде изтрит.
Забележка: това всъщност може да бъде интересен начин да се уверите, че даден файл не е наистина изтрит от някой, който има навика да изтрива файлове. Просто създайте твърда връзка към всички файлове, които не искате да загубят.
Във всеки случай, можете да използвате тази команда достатъчно лесно:
findlinks
Единственият проблем е, че Windows 7 и 8 имат вградена команда, която прави същото. Използвайте това вместо това:
fsutil hardlink list
Забележка:Винаги е по-добре да се научите да използвате вградените неща, когато е възможно, защото никога не знаете кога ще трябва да направите нещо на компютъра на някой друг, когато не разполагате с инструментариума си.
DiskView показва структурата на диска
Тази програма ви дава възможност да видите подробно структурата на твърдия диск и дори можете да увеличите мащаба и да изберете файл, който да се подчертае в списъка, така че да можете да видите къде е отделен файл на устройството и също вижте дали е фрагментиран или не. Това не е ужасно полезно за повечето хора, но се надяваме, че имате сценарий, в който може да се наложи да го използвате.
Disk2vhd Превръща компютрите във виртуални твърди дискове
Тази помощна програма създава клонинг на твърдия диск на компютъра ви, докато работи, и го обединява във виртуален твърд диск, който може да се използва във виртуална машина. И това става докато компютърът работи.
Точно така, можете да създадете виртуална машина на твърдия си диск, докато компютърът ви работи. Това също може да бъде наистина полезно за сценариите, където искате да направите някакъв съдебен анализ на машина, но на собствения си компютър - можете просто да създадете клонинг и след това да го заредите като виртуална машина.
Опцията за Vhdx казва на Disk2vhd да използва по-новия VHDX файлов формат вместо файловия формат VHD, който има редица ограничения. По подразбиране Disk2vhd ще създаде отделни файлове за всяко физическо устройство, но ще постави дялове в един и същ файл. Ако просто планирате да прикачите този VHD файл към друга виртуална машина или дори просто да го монтирате на обикновен компютър с Windows, можете да премахнете отметките, които не са ви необходими в списъка. Ако възнамерявате да направите виртуална машина извън нея, вероятно трябва да оставите всичко проверено.
PageDefrag е остаряла
Тази програма ви позволява да дефрагментирате системните файлове по време на зареждане, но тъй като не работи на последните версии на Windows, трябва да го пропуснете.
Синхронизирането записва кешираните данни на диска
Тази програма просто синхронизира всички кеширани данни на диска, за да се увери, че всички промени в файловете са написани на диска и не са съхранени някъде в буфера. Разбира се, трябва да използвате опцията Безопасно премахване всеки път, ако искате да сте сигурни, че няма да загубите данни, когато дърпате флаш устройство.
Дисковият монитор ви показва активността на твърдия диск в реално време
Тази програма показва действителната активност на твърдия диск, която се случва в реално време - сектори, чете, пише, дължината на данните, всичко е там.Единственият проблем е, че това не е ужасно полезно за повечето хора.
VolumeID променя серийния номер на устройството
Забелязали ли сте някога как всяко устройство има сериен номер, който прилича на 064B-1E81 или нещо също толкова неудобно? Ако искате да промените този сериен номер на нещо по-забавно, можете да го направите, като използвате инструмента VolumeID с този синтаксис:
volumeid XXXX-XXXX
Моля, имайте предвид, че синтаксисът изисква използване на шестнадесетични знаци, така че не можете да въведете в GEEK-1337, както го направихме, защото просто няма да работи.
Следващ урок
Утре ще приключим серията с поглед към някои от малкото инструменти, които ни липсваха, както и някои насоки за използването на всички инструменти заедно и когато трябва да извадите всеки инструмент.