การวิเคราะห์และจัดการไฟล์โฟลเดอร์และไดรฟ์ของคุณ
เราเกือบจะเสร็จสิ้นกับซีรี่ส์ Geek School ของเราบนเครื่องมือ SysInternals และวันนี้เราจะพูดถึงเครื่องมือที่ช่วยคุณจัดการไฟล์และโฟลเดอร์ไม่ว่าคุณกำลังค้นหาข้อมูลที่ซ่อนอยู่หรือลบไฟล์อย่างปลอดภัย.
การนำทางของโรงเรียน- เครื่องมือ SysInternals คืออะไรและคุณใช้งานอย่างไร?
- ทำความเข้าใจกับ Process Explorer
- ใช้ Process Explorer เพื่อแก้ไขปัญหาและวินิจฉัย
- ทำความเข้าใจเกี่ยวกับการตรวจสอบกระบวนการ
- ใช้การตรวจสอบกระบวนการเพื่อแก้ไขปัญหาและค้นหา Hacks รีจิสทรี
- ใช้การทำงานอัตโนมัติเพื่อจัดการกับกระบวนการเริ่มต้นและมัลแวร์
- ใช้ BgInfo เพื่อแสดงข้อมูลระบบบนเดสก์ท็อป
- การใช้ PsTools เพื่อควบคุมพีซีเครื่องอื่นจาก Command Line
- การวิเคราะห์และจัดการไฟล์โฟลเดอร์และไดรฟ์ของคุณ
- การรวมและใช้เครื่องมือเข้าด้วยกัน
มียูทิลิตี้ค่อนข้างน้อยในชุดเครื่องมือที่จัดการกับทุกสิ่งที่เกี่ยวข้องกับไฟล์หรือโฟลเดอร์หรือการค้นหาข้อมูลที่คุณไม่ทราบว่าอยู่ที่นั่นและมีบางอย่างที่ค่อนข้างโง่ เราจะปิดบังพวกเขาทั้งหมด.
เครื่องมือที่เกี่ยวข้องกับไฟล์ที่สำคัญที่สุดในคิทเพื่อทำความรู้จักอาจเป็นยูทิลิตี้ของ Sigcheck และสตรีม แต่ก็ควรที่จะอ่านให้ละเอียดด้วยความระมัดระวัง.
สตรีมค้นหาและแสดงสตรีม NTFS ที่ซ่อนอยู่
คนส่วนใหญ่ไม่รู้เกี่ยวกับคุณสมบัตินี้ แต่ Windows จะช่วยให้คุณเก็บข้อมูลไว้ในช่องว่างที่ซ่อนอยู่ในระบบไฟล์ที่เรียกว่าสตรีมข้อมูลสำรอง วิธีนี้ใช้งานได้โดยการต่อท้ายเครื่องหมายโคลอนและคีย์เฉพาะต่อท้ายชื่อไฟล์เมื่อโต้ตอบกับมัน.
ตัวอย่างเช่นหากคุณต้องการซ่อนข้อมูลบางอย่างในไฟล์คุณสามารถทำสิ่งที่ต้องการ echo Secret> filename.txt: hiddenstuff และแม้ว่าคุณจะเปิดไฟล์ข้อความนั้นใน Notepad คุณจะไม่เห็นข้อความ“ ความลับ” ที่คุณเพิ่มและจะไม่มีวิธีอื่นที่จะรู้ว่ามันอยู่ที่นั่น ในความเป็นจริงคุณสามารถทำเกือบทุกอย่างที่คุณต้องการโดยใช้เทคนิคนี้ (ให้แน่ใจว่าได้อ่านบทความของเราในเรื่องสำหรับคำอธิบายแบบเต็ม).
นี่เป็นเทคนิคที่ช่วยให้ Windows รู้ได้อย่างน่าอัศจรรย์ว่ามีการดาวน์โหลดไฟล์จากอินเทอร์เน็ตโดยการซ่อนข้อมูลไว้ในเขตข้อมูล Zone.Identifier ในความเป็นจริงคุณสามารถลบสตรีมข้อมูลสำรองนี้โดยใช้ยูทิลิตี้ Streams.
ไวยากรณ์ง่าย - เพื่อดูสตรีมให้พิมพ์ดังต่อไปนี้ที่พรอมต์:
ลำธาร
คุณยังสามารถใช้“ สตรีม * .exe” หรืออะไรทำนองนั้นเพื่อดูไฟล์ทั้งหมดที่มีข้อมูลสตรีมที่ซ่อนอยู่หากมี วิธีที่รวดเร็วที่สุดในการดูบางสิ่งคือมุ่งหน้าไปยังไดเรกทอรีดาวน์โหลดของคุณและเรียกใช้งานที่นั่น.
หากต้องการลบหนึ่งในสตรีมหรือหลายรายการคุณสามารถใช้ตัวเลือก -d:
ลำธาร -d
นอกจากนี้คุณยังสามารถใช้ตัวเลือก -s เพื่อไปยังไดเรกทอรีย่อยซ้ำ.
SigCheck วิเคราะห์ไฟล์ที่ไม่ได้เซ็นชื่อแบบดิจิทัล (เช่นมัลแวร์)
ยูทิลิตี้ที่มีประโยชน์มากนี้จะวิเคราะห์ลายเซ็นดิจิทัลของไฟล์ในระบบของคุณและบอกคุณว่าพวกเขาถูกต้องหรือไม่มีใบรับรอง คุณยังสามารถใช้มันเพื่อตรวจสอบไฟล์กับ VirusTotal จากบรรทัดคำสั่งซึ่งสะดวกเพราะนั่นคือจุดที่แท้จริงของเครื่องมือนี้คือการค้นหามัลแวร์.
ไวยากรณ์ปกติและมีประโยชน์มากที่สุดคือการเพิ่มสวิตช์ -u ซึ่งรายงานปัญหาเท่านั้นและสวิตช์ -e ซึ่งตรวจสอบไฟล์ที่ปฏิบัติการได้เท่านั้น ดังนั้นคุณสามารถเรียกใช้บางอย่างเช่นนี้เพื่อตรวจสอบไดเรกทอรี system32 ของคุณและตรวจสอบให้แน่ใจว่าไฟล์ทั้งหมดที่มีการเซ็นชื่อแบบดิจิทัล ควรตรวจสอบสิ่งอื่นใดอย่างใกล้ชิด.
sigcheck -e -u C: \ Windows \ System32
คุณยังสามารถใช้ตัวเลือก -v สำหรับการตรวจสอบเพิ่มเติมกับ VirusTotal แต่คุณจะต้องใช้ตัวเลือก -vt ในครั้งแรกเพื่อยอมรับข้อกำหนดและเงื่อนไขของพวกเขา.
sigcheck -v -vt
SDelete ลบไฟล์อย่างปลอดภัย
หากคุณเป็นประเภทหวาดระแวงคุณยินดีที่จะรู้ว่าคุณสามารถล้างไฟล์จากบรรทัดคำสั่งได้อย่างปลอดภัยทุกเวลาที่คุณต้องการ เพียงใช้ยูทิลิตี sdelete ในการตีไฟล์ด้วยโปรโตคอลการลบตาม DoD (แน่นอน NSA อาจยังมีสำเนาไฟล์ของคุณอยู่) ไวยากรณ์ง่ายมาก:
sdelete
คุณสามารถทำความสะอาดพื้นที่ว่างบนไดรฟ์โดยการใช้ sdelete -c ตัวเลือกซึ่งจะใช้เวลานาน แต่เป็นตัวเลือกที่ดีถ้าคุณลืมใช้ sdelete เพื่อลบไฟล์ในตอนแรก.
Contig Defragments ไฟล์เดียวหรือหลายไฟล์
หากคุณต้องการจัดเรียงข้อมูลเพียงไฟล์เดียวหรือรายการไฟล์คุณสามารถใช้ยูทิลิตี Contig เพื่อทำเช่นนั้น แน่นอนว่าคุณไม่จำเป็นต้องจัดเรียงข้อมูลไฟล์ใน Windows รุ่นใหม่ที่ทำงานโดยอัตโนมัติ และถ้าคุณใช้ไดรฟ์โซลิดสเตทคุณไม่ควรจัดเรียงข้อมูลหรือไม่จำเป็นต้องทำ แต่ถ้าคุณแน่นอนต้องทำการดีแฟรกไฟล์เดียวนี่คือยูทิลิตีที่จะทำ ไวยากรณ์ง่ายมาก:
contig
หากคุณต้องการวิเคราะห์การแตกแฟรกเมนต์ของไฟล์โดยไม่ทำสิ่งใด ๆ จริงคุณสามารถใช้สวิตช์ -a ดังที่แสดงด้านล่าง:
เป็นที่น่าสังเกตว่าแม้ว่าไฟล์จะกระจัดกระจายถ้าไฟล์มีขนาดใหญ่มากและแตกออกเป็นสองสามชิ้นใหญ่คุณจะไม่ได้อะไรจากการจัดเรียงข้อมูลและจะเสียเวลามากกว่าที่จะประหยัด.
du แสดงการใช้ดิสก์
คุณสามารถคลิกขวาที่ไฟล์หรือโฟลเดอร์ใดก็ได้ใน Windows Explorer แล้วเลือกคุณสมบัติหรือใช้แป้นพิมพ์ลัด ALT + ENTER เพื่อดูขนาดของไฟล์หรือโฟลเดอร์ แต่ถ้าคุณต้องการดูข้อมูลจากพรอมต์คำสั่ง นั่นคือสิ่งที่ยูทิลิตี du เข้ามาและยังมีความแม่นยำมากขึ้นเพราะไม่นับไฟล์ที่เชื่อมโยงเป็นสัญลักษณ์และตรวจสอบสตรีมข้อมูลทางเลือกด้วย.
อ็อพชัน -n ตรวจสอบโฟลเดอร์เดียวเท่านั้นโดยไม่เรียกใช้ซ้ำในไดเร็กทอรีย่อยขณะที่อ็อพชัน -v จะเรียกคืนและยังแสดงแต่ละไดเร็กทอรีเมื่อผ่านรายการและตัวเลือก -l (n) ตรวจสอบระดับลึกเพียง "n" ในขณะที่ -l 2 จะตรวจสอบ 2 ระดับลึก.
PendMoves แสดงการย้ายไฟล์ในการรีบูตครั้งถัดไป
คุณเคยสงสัยหรือไม่ว่าทำไมการติดตั้งแอปพลิเคชันทำให้คุณรีบูตคอมพิวเตอร์ของคุณ? คำตอบคือโดยปกติแล้วพวกเขาต้องการย้ายไฟล์บางไฟล์ที่ไม่สามารถย้ายไปมาได้ในขณะที่ Windows กำลังทำงานดังนั้นพวกเขาจึงใช้ฟีเจอร์ Windows ในตัวที่รองรับการย้ายหรือลบไฟล์เมื่อรีบูต.
สิ่งเดียวที่คุณต้องทำคือเรียกใช้คำสั่งและจะส่งออกข้อมูล เหตุใดสำเนาของ Process Explorer จึงถูกกำหนดให้ย้ายไปยังโฟลเดอร์ Windows ในการรีบูตครั้งถัดไป อ่านต่อ.
MoveFiles ย้ายไฟล์ระบบเมื่อคุณรีบูต
ยูทิลิตี้นี้ใช้คุณสมบัติ Windows ในตัวเพื่อกำหนดเวลาการย้ายลบหรือเปลี่ยนชื่อไฟล์หรือไดเรกทอรีเพื่อให้เกิดขึ้นในระหว่างรอบการรีบูตครั้งถัดไปก่อนที่ Windows จะโหลดเต็มที่ ไวยากรณ์ง่ายมาก:
movefile
หากคุณต้องการลบไฟล์คุณสามารถใช้ปลายทางที่ว่างเปล่าโดยใช้เครื่องหมายคำพูดเช่น movefile“”. ดังที่คุณเห็นในภาพหน้าจอด้านล่างเราใช้คำสั่ง Movefile เพื่อกำหนดเวลาสำเนากระบวนการสำรวจเพื่อย้ายไปยังไดเรกทอรี Windows เพื่อแสดงให้เห็นว่ามันทำงานอย่างไร.
จังค์ชันสร้างลิงก์สัญลักษณ์
Windows รองรับลิงค์สัญลักษณ์สำหรับไฟล์และโฟลเดอร์เพื่อให้คุณสามารถมีมากกว่าหนึ่งพา ธ ชี้ไปที่ไฟล์เดียวกันเพื่อประหยัดพื้นที่แทนที่จะมีสำเนาหลายไฟล์ แนวคิดนี้คล้ายกับทางลัดยกเว้นสิ่งนี้อยู่ในระดับระบบไฟล์และอยู่ใน NTFS.
ยูทิลิตี้ Junction ช่วยให้คุณสร้างและลบลิงก์เหล่านี้ได้อย่างง่ายดาย คุณสามารถลบได้โดยใช้ ทางแยก .
ทางแยก
อย่างไรก็ตามความเป็นจริงคือ Windows ตั้งแต่ Vista มีความสามารถในการสร้าง symlink ด้วยคำสั่ง mklink และคุณอาจใช้อันนั้นแทน.
FindLinks ค้นหาฮาร์ดลิงก์ไปยังไฟล์
ยูทิลิตี้ตัวเล็ก ๆ นี้จะค้นหาลิงก์ที่ชี้ไปยังไฟล์ทั้งหมด ฮาร์ดลิงก์แตกต่างจากลิงค์สัญลักษณ์ในการลบฮาร์ดลิงก์หนึ่งอันไม่ได้ลบไฟล์จริงๆหากมีลิงค์ฮาร์ดไปยังไฟล์นั้นมากกว่ามันจะปรากฏขึ้นเพื่อลบจนกว่าคุณจะลบฮาร์ดลิงก์ทั้งหมดออกไป เมื่อคุณลบฮาร์ดลิงก์สุดท้ายไฟล์จะถูกลบ.
บันทึก: นี่อาจเป็นวิธีที่น่าสนใจเพื่อให้แน่ใจว่าบางคนไม่เคยถูกลบโดยคนที่มีนิสัยในการลบไฟล์ เพียงสร้างฮาร์ดลิงก์ไปยังไฟล์ทั้งหมดที่คุณไม่ต้องการให้สูญเสีย.
ไม่ว่าในกรณีใดคุณสามารถใช้คำสั่งนี้ได้ง่ายพอ:
findlinks
ปัญหาเดียวคือ Windows 7 และ 8 มีคำสั่งในตัวที่ทำสิ่งเดียวกัน ใช้อันนี้แทน:
fsutil รายการ hardlink
บันทึก: มันจะดีกว่าเสมอที่จะเรียนรู้การใช้สิ่งต่าง ๆ ในตัวเมื่อเป็นไปได้เพราะคุณไม่มีทางรู้ว่าคุณจะต้องทำอะไรกับคอมพิวเตอร์ของคนอื่นเมื่อคุณไม่มีชุดเครื่องมือ.
DiskView แสดงโครงสร้างดิสก์
ยูทิลิตี้นี้ช่วยให้คุณเห็นโครงสร้างของฮาร์ดไดรฟ์ของคุณในรายละเอียดที่ยอดเยี่ยมและคุณสามารถซูมเข้าและเลือกไฟล์เพื่อไฮไลต์ในรายการเพื่อให้คุณสามารถดูว่าไฟล์ใดอยู่ในไดรฟ์และ ดูว่ามันมีการแยกส่วนหรือไม่ มันไม่ได้มีประโยชน์มากสำหรับคนส่วนใหญ่ แต่หวังว่าคุณจะมีสถานการณ์ที่คุณอาจจำเป็นต้องใช้.
Disk2vhd เปลี่ยนพีซีให้เป็นฮาร์ดไดรฟ์เสมือนจริง
ยูทิลิตี้นี้สร้างโคลนของฮาร์ดไดรฟ์ของคอมพิวเตอร์ของคุณในขณะที่ทำงานและรวมเข้าไว้ในไฟล์ฮาร์ดไดรฟ์เสมือนที่สามารถใช้ในเครื่องเสมือนได้ และจะทำเช่นนี้ในขณะที่พีซีกำลังทำงาน.
ถูกต้องคุณสามารถสร้างเครื่องเสมือนของฮาร์ดไดรฟ์ในขณะที่คอมพิวเตอร์กำลังทำงาน นี่อาจเป็นประโยชน์อย่างยิ่งสำหรับสถานการณ์ที่คุณต้องการทำการวิเคราะห์ทางนิติเวชของเครื่องจักร แต่ในคอมพิวเตอร์ของคุณเอง - คุณสามารถสร้างโคลนแล้วบูตมันเป็นเครื่องเสมือนแทน.
ตัวเลือกสำหรับ Vhdx บอกให้ Disk2vhd ใช้รูปแบบไฟล์ VHDX ที่ใหม่กว่าแทนรูปแบบไฟล์ VHD ซึ่งมีข้อ จำกัด มากมาย โดยค่าเริ่มต้น Disk2vhd จะสร้างไฟล์แยกกันสำหรับแต่ละฟิสิคัลไดรฟ์ แต่ใส่พาร์ติชั่นไว้ในไฟล์เดียวกัน หากคุณวางแผนที่จะแนบไฟล์ VHD นี้กับเครื่องเสมือนอื่นหรือแม้กระทั่งติดตั้งบนคอมพิวเตอร์ Windows ปกติคุณสามารถยกเลิกการเลือกพาร์ติชันที่คุณไม่ต้องการในรายการ หากคุณวางแผนที่จะสร้างเครื่องเสมือนจากมันคุณควรปล่อยให้ทุกอย่างถูกตรวจสอบ.
สามารถส่งไฟล์ VHD ไปยังไดรฟ์เดียวกันกับที่คุณกำลังทำสำเนาได้ แต่เราขอแนะนำให้ใช้ไดรฟ์ที่สองหากเป็นไปได้เพื่อให้ทุกอย่างรวดเร็วยิ่งขึ้น.
PageDefrag ล้าสมัย
ยูทิลิตีนี้อนุญาตให้คุณจัดเรียงข้อมูลไฟล์ระบบในระหว่างการบู๊ต แต่เนื่องจากมันไม่ทำงานบน Windows เวอร์ชั่นล่าสุดคุณควรข้ามมัน.
ซิงค์เขียนข้อมูลที่แคชไปยังดิสก์ของคุณ
ยูทิลิตี้นี้เพียงแค่ซิงค์ข้อมูลแคชทั้งหมดออกไปยังดิสก์เพื่อให้แน่ใจว่าการเปลี่ยนแปลงไฟล์ทั้งหมดถูกเขียนลงในไดรฟ์และไม่ได้เก็บไว้ในบัฟเฟอร์บางแห่ง แน่นอนคุณควรใช้ตัวเลือก Safely Remove ทุกครั้งหากคุณต้องการให้แน่ใจว่าคุณจะไม่สูญเสียข้อมูลเมื่อดึงแฟลชไดรฟ์.
การตรวจสอบดิสก์แสดงกิจกรรมฮาร์ดไดรฟ์แบบเรียลไทม์
ยูทิลิตี้นี้แสดงกิจกรรมฮาร์ดไดรฟ์ที่เกิดขึ้นจริงในแบบเรียลไทม์ - ภาคอ่านเขียนความยาวของข้อมูลทั้งหมดที่มี ปัญหาเดียวคือมันไม่ได้มีประโยชน์มากสำหรับคนส่วนใหญ่.
มีประโยชน์มากกว่านี้เล็กน้อยคือการตรวจสอบดิสก์“ Tray Disk Light” ที่คุณสามารถเลือกได้จากเมนูตัวเลือก เมื่อคุณเปิดใช้งานโหมดนั้นมันจะย้ายไปที่ถาดระบบและกะพริบเป็นสีแดงสำหรับการเขียน, สีเขียวสำหรับการอ่านหรือเป็นสีเทาเมื่อไม่มีอะไรเกิดขึ้น.
ถ้าเพียงไอคอนที่ตรงกับ Windows 8 ดีขึ้นเล็กน้อย.
VolumeID เปลี่ยนหมายเลขประจำตัวไดรฟ์
คุณเคยสังเกตไหมว่าไดรฟ์ทุกตัวมีหมายเลขซีเรียลที่มีลักษณะเหมือน 064B-1E81 หรืออะไรที่ไม่น่าสนใจเท่า ๆ กัน? หากคุณต้องการเปลี่ยนหมายเลขซีเรียลนั้นให้สนุกยิ่งขึ้นคุณสามารถทำได้โดยใช้ยูทิลิตี้ VolumeID ด้วยไวยากรณ์นี้:
volumeid XXXX-XXXX
โปรดทราบว่าไวยากรณ์ต้องใช้อักขระฐานสิบหกดังนั้นคุณจึงไม่สามารถพิมพ์ใน GEEK-1337 เหมือนที่เราทำเพราะมันไม่ทำงาน.
บทเรียนถัดไป
พรุ่งนี้เราจะสรุปซีรี่ส์โดยดูที่ยูทิลิตี้เล็ก ๆ น้อย ๆ ที่เราพลาดไปรวมถึงคำแนะนำในการใช้เครื่องมือทั้งหมดด้วยกันและเมื่อคุณควรดึงเครื่องมือแต่ละอัน.