การวิเคราะห์และจัดการไฟล์โฟลเดอร์และไดรฟ์ของคุณ

เราเกือบจะเสร็จสิ้นกับซีรี่ส์ Geek School ของเราบนเครื่องมือ SysInternals และวันนี้เราจะพูดถึงเครื่องมือที่ช่วยคุณจัดการไฟล์และโฟลเดอร์ไม่ว่าคุณกำลังค้นหาข้อมูลที่ซ่อนอยู่หรือลบไฟล์อย่างปลอดภัย.

การนำทางของโรงเรียน

1. เครื่องมือ SysInternals คืออะไรและคุณใช้งานอย่างไร?
2. ทำความเข้าใจกับ Process Explorer
3. ใช้ Process Explorer เพื่อแก้ไขปัญหาและวินิจฉัย
4. ทำความเข้าใจเกี่ยวกับการตรวจสอบกระบวนการ
5. ใช้การตรวจสอบกระบวนการเพื่อแก้ไขปัญหาและค้นหา Hacks รีจิสทรี
6. ใช้การทำงานอัตโนมัติเพื่อจัดการกับกระบวนการเริ่มต้นและมัลแวร์
7. ใช้ BgInfo เพื่อแสดงข้อมูลระบบบนเดสก์ท็อป
8. การใช้ PsTools เพื่อควบคุมพีซีเครื่องอื่นจาก Command Line
9. การวิเคราะห์และจัดการไฟล์โฟลเดอร์และไดรฟ์ของคุณ
10. การรวมและใช้เครื่องมือเข้าด้วยกัน

มียูทิลิตี้ค่อนข้างน้อยในชุดเครื่องมือที่จัดการกับทุกสิ่งที่เกี่ยวข้องกับไฟล์หรือโฟลเดอร์หรือการค้นหาข้อมูลที่คุณไม่ทราบว่าอยู่ที่นั่นและมีบางอย่างที่ค่อนข้างโง่ เราจะปิดบังพวกเขาทั้งหมด.

เครื่องมือที่เกี่ยวข้องกับไฟล์ที่สำคัญที่สุดในคิทเพื่อทำความรู้จักอาจเป็นยูทิลิตี้ของ Sigcheck และสตรีม แต่ก็ควรที่จะอ่านให้ละเอียดด้วยความระมัดระวัง.

สตรีมค้นหาและแสดงสตรีม NTFS ที่ซ่อนอยู่

คนส่วนใหญ่ไม่รู้เกี่ยวกับคุณสมบัตินี้ แต่ Windows จะช่วยให้คุณเก็บข้อมูลไว้ในช่องว่างที่ซ่อนอยู่ในระบบไฟล์ที่เรียกว่าสตรีมข้อมูลสำรอง วิธีนี้ใช้งานได้โดยการต่อท้ายเครื่องหมายโคลอนและคีย์เฉพาะต่อท้ายชื่อไฟล์เมื่อโต้ตอบกับมัน.

ตัวอย่างเช่นหากคุณต้องการซ่อนข้อมูลบางอย่างในไฟล์คุณสามารถทำสิ่งที่ต้องการ echo Secret> filename.txt: hiddenstuff และแม้ว่าคุณจะเปิดไฟล์ข้อความนั้นใน Notepad คุณจะไม่เห็นข้อความ“ ความลับ” ที่คุณเพิ่มและจะไม่มีวิธีอื่นที่จะรู้ว่ามันอยู่ที่นั่น ในความเป็นจริงคุณสามารถทำเกือบทุกอย่างที่คุณต้องการโดยใช้เทคนิคนี้ (ให้แน่ใจว่าได้อ่านบทความของเราในเรื่องสำหรับคำอธิบายแบบเต็ม).

นี่เป็นเทคนิคที่ช่วยให้ Windows รู้ได้อย่างน่าอัศจรรย์ว่ามีการดาวน์โหลดไฟล์จากอินเทอร์เน็ตโดยการซ่อนข้อมูลไว้ในเขตข้อมูล Zone.Identifier ในความเป็นจริงคุณสามารถลบสตรีมข้อมูลสำรองนี้โดยใช้ยูทิลิตี้ Streams.

ไวยากรณ์ง่าย - เพื่อดูสตรีมให้พิมพ์ดังต่อไปนี้ที่พรอมต์:

ลำธาร

คุณยังสามารถใช้“ สตรีม * .exe” หรืออะไรทำนองนั้นเพื่อดูไฟล์ทั้งหมดที่มีข้อมูลสตรีมที่ซ่อนอยู่หากมี วิธีที่รวดเร็วที่สุดในการดูบางสิ่งคือมุ่งหน้าไปยังไดเรกทอรีดาวน์โหลดของคุณและเรียกใช้งานที่นั่น.

หากต้องการลบหนึ่งในสตรีมหรือหลายรายการคุณสามารถใช้ตัวเลือก -d:

ลำธาร -d

นอกจากนี้คุณยังสามารถใช้ตัวเลือก -s เพื่อไปยังไดเรกทอรีย่อยซ้ำ.

SigCheck วิเคราะห์ไฟล์ที่ไม่ได้เซ็นชื่อแบบดิจิทัล (เช่นมัลแวร์)

ยูทิลิตี้ที่มีประโยชน์มากนี้จะวิเคราะห์ลายเซ็นดิจิทัลของไฟล์ในระบบของคุณและบอกคุณว่าพวกเขาถูกต้องหรือไม่มีใบรับรอง คุณยังสามารถใช้มันเพื่อตรวจสอบไฟล์กับ VirusTotal จากบรรทัดคำสั่งซึ่งสะดวกเพราะนั่นคือจุดที่แท้จริงของเครื่องมือนี้คือการค้นหามัลแวร์.

ไวยากรณ์ปกติและมีประโยชน์มากที่สุดคือการเพิ่มสวิตช์ -u ซึ่งรายงานปัญหาเท่านั้นและสวิตช์ -e ซึ่งตรวจสอบไฟล์ที่ปฏิบัติการได้เท่านั้น ดังนั้นคุณสามารถเรียกใช้บางอย่างเช่นนี้เพื่อตรวจสอบไดเรกทอรี system32 ของคุณและตรวจสอบให้แน่ใจว่าไฟล์ทั้งหมดที่มีการเซ็นชื่อแบบดิจิทัล ควรตรวจสอบสิ่งอื่นใดอย่างใกล้ชิด.

sigcheck -e -u C: \ Windows \ System32

คุณยังสามารถใช้ตัวเลือก -v สำหรับการตรวจสอบเพิ่มเติมกับ VirusTotal แต่คุณจะต้องใช้ตัวเลือก -vt ในครั้งแรกเพื่อยอมรับข้อกำหนดและเงื่อนไขของพวกเขา.

sigcheck -v -vt

SDelete ลบไฟล์อย่างปลอดภัย

หากคุณเป็นประเภทหวาดระแวงคุณยินดีที่จะรู้ว่าคุณสามารถล้างไฟล์จากบรรทัดคำสั่งได้อย่างปลอดภัยทุกเวลาที่คุณต้องการ เพียงใช้ยูทิลิตี sdelete ในการตีไฟล์ด้วยโปรโตคอลการลบตาม DoD (แน่นอน NSA อาจยังมีสำเนาไฟล์ของคุณอยู่) ไวยากรณ์ง่ายมาก:

sdelete

คุณสามารถทำความสะอาดพื้นที่ว่างบนไดรฟ์โดยการใช้ sdelete -c ตัวเลือกซึ่งจะใช้เวลานาน แต่เป็นตัวเลือกที่ดีถ้าคุณลืมใช้ sdelete เพื่อลบไฟล์ในตอนแรก.

Contig Defragments ไฟล์เดียวหรือหลายไฟล์

หากคุณต้องการจัดเรียงข้อมูลเพียงไฟล์เดียวหรือรายการไฟล์คุณสามารถใช้ยูทิลิตี Contig เพื่อทำเช่นนั้น แน่นอนว่าคุณไม่จำเป็นต้องจัดเรียงข้อมูลไฟล์ใน Windows รุ่นใหม่ที่ทำงานโดยอัตโนมัติ และถ้าคุณใช้ไดรฟ์โซลิดสเตทคุณไม่ควรจัดเรียงข้อมูลหรือไม่จำเป็นต้องทำ แต่ถ้าคุณแน่นอนต้องทำการดีแฟรกไฟล์เดียวนี่คือยูทิลิตีที่จะทำ ไวยากรณ์ง่ายมาก:

contig

หากคุณต้องการวิเคราะห์การแตกแฟรกเมนต์ของไฟล์โดยไม่ทำสิ่งใด ๆ จริงคุณสามารถใช้สวิตช์ -a ดังที่แสดงด้านล่าง:

เป็นที่น่าสังเกตว่าแม้ว่าไฟล์จะกระจัดกระจายถ้าไฟล์มีขนาดใหญ่มากและแตกออกเป็นสองสามชิ้นใหญ่คุณจะไม่ได้อะไรจากการจัดเรียงข้อมูลและจะเสียเวลามากกว่าที่จะประหยัด.

du แสดงการใช้ดิสก์

คุณสามารถคลิกขวาที่ไฟล์หรือโฟลเดอร์ใดก็ได้ใน Windows Explorer แล้วเลือกคุณสมบัติหรือใช้แป้นพิมพ์ลัด ALT + ENTER เพื่อดูขนาดของไฟล์หรือโฟลเดอร์ แต่ถ้าคุณต้องการดูข้อมูลจากพรอมต์คำสั่ง นั่นคือสิ่งที่ยูทิลิตี du เข้ามาและยังมีความแม่นยำมากขึ้นเพราะไม่นับไฟล์ที่เชื่อมโยงเป็นสัญลักษณ์และตรวจสอบสตรีมข้อมูลทางเลือกด้วย.

อ็อพชัน -n ตรวจสอบโฟลเดอร์เดียวเท่านั้นโดยไม่เรียกใช้ซ้ำในไดเร็กทอรีย่อยขณะที่อ็อพชัน -v จะเรียกคืนและยังแสดงแต่ละไดเร็กทอรีเมื่อผ่านรายการและตัวเลือก -l (n) ตรวจสอบระดับลึกเพียง "n" ในขณะที่ -l 2 จะตรวจสอบ 2 ระดับลึก.

PendMoves แสดงการย้ายไฟล์ในการรีบูตครั้งถัดไป

คุณเคยสงสัยหรือไม่ว่าทำไมการติดตั้งแอปพลิเคชันทำให้คุณรีบูตคอมพิวเตอร์ของคุณ? คำตอบคือโดยปกติแล้วพวกเขาต้องการย้ายไฟล์บางไฟล์ที่ไม่สามารถย้ายไปมาได้ในขณะที่ Windows กำลังทำงานดังนั้นพวกเขาจึงใช้ฟีเจอร์ Windows ในตัวที่รองรับการย้ายหรือลบไฟล์เมื่อรีบูต.

สิ่งเดียวที่คุณต้องทำคือเรียกใช้คำสั่งและจะส่งออกข้อมูล เหตุใดสำเนาของ Process Explorer จึงถูกกำหนดให้ย้ายไปยังโฟลเดอร์ Windows ในการรีบูตครั้งถัดไป อ่านต่อ.

MoveFiles ย้ายไฟล์ระบบเมื่อคุณรีบูต

ยูทิลิตี้นี้ใช้คุณสมบัติ Windows ในตัวเพื่อกำหนดเวลาการย้ายลบหรือเปลี่ยนชื่อไฟล์หรือไดเรกทอรีเพื่อให้เกิดขึ้นในระหว่างรอบการรีบูตครั้งถัดไปก่อนที่ Windows จะโหลดเต็มที่ ไวยากรณ์ง่ายมาก:

movefile

หากคุณต้องการลบไฟล์คุณสามารถใช้ปลายทางที่ว่างเปล่าโดยใช้เครื่องหมายคำพูดเช่น movefile“”. ดังที่คุณเห็นในภาพหน้าจอด้านล่างเราใช้คำสั่ง Movefile เพื่อกำหนดเวลาสำเนากระบวนการสำรวจเพื่อย้ายไปยังไดเรกทอรี Windows เพื่อแสดงให้เห็นว่ามันทำงานอย่างไร.

จังค์ชันสร้างลิงก์สัญลักษณ์

Windows รองรับลิงค์สัญลักษณ์สำหรับไฟล์และโฟลเดอร์เพื่อให้คุณสามารถมีมากกว่าหนึ่งพา ธ ชี้ไปที่ไฟล์เดียวกันเพื่อประหยัดพื้นที่แทนที่จะมีสำเนาหลายไฟล์ แนวคิดนี้คล้ายกับทางลัดยกเว้นสิ่งนี้อยู่ในระดับระบบไฟล์และอยู่ใน NTFS.

ยูทิลิตี้ Junction ช่วยให้คุณสร้างและลบลิงก์เหล่านี้ได้อย่างง่ายดาย คุณสามารถลบได้โดยใช้ ทางแยก .

ทางแยก

อย่างไรก็ตามความเป็นจริงคือ Windows ตั้งแต่ Vista มีความสามารถในการสร้าง symlink ด้วยคำสั่ง mklink และคุณอาจใช้อันนั้นแทน.

FindLinks ค้นหาฮาร์ดลิงก์ไปยังไฟล์

ยูทิลิตี้ตัวเล็ก ๆ นี้จะค้นหาลิงก์ที่ชี้ไปยังไฟล์ทั้งหมด ฮาร์ดลิงก์แตกต่างจากลิงค์สัญลักษณ์ในการลบฮาร์ดลิงก์หนึ่งอันไม่ได้ลบไฟล์จริงๆหากมีลิงค์ฮาร์ดไปยังไฟล์นั้นมากกว่ามันจะปรากฏขึ้นเพื่อลบจนกว่าคุณจะลบฮาร์ดลิงก์ทั้งหมดออกไป เมื่อคุณลบฮาร์ดลิงก์สุดท้ายไฟล์จะถูกลบ.

บันทึก: นี่อาจเป็นวิธีที่น่าสนใจเพื่อให้แน่ใจว่าบางคนไม่เคยถูกลบโดยคนที่มีนิสัยในการลบไฟล์ เพียงสร้างฮาร์ดลิงก์ไปยังไฟล์ทั้งหมดที่คุณไม่ต้องการให้สูญเสีย.

ไม่ว่าในกรณีใดคุณสามารถใช้คำสั่งนี้ได้ง่ายพอ:

findlinks

ปัญหาเดียวคือ Windows 7 และ 8 มีคำสั่งในตัวที่ทำสิ่งเดียวกัน ใช้อันนี้แทน:

fsutil รายการ hardlink

บันทึก: มันจะดีกว่าเสมอที่จะเรียนรู้การใช้สิ่งต่าง ๆ ในตัวเมื่อเป็นไปได้เพราะคุณไม่มีทางรู้ว่าคุณจะต้องทำอะไรกับคอมพิวเตอร์ของคนอื่นเมื่อคุณไม่มีชุดเครื่องมือ.

DiskView แสดงโครงสร้างดิสก์

ยูทิลิตี้นี้ช่วยให้คุณเห็นโครงสร้างของฮาร์ดไดรฟ์ของคุณในรายละเอียดที่ยอดเยี่ยมและคุณสามารถซูมเข้าและเลือกไฟล์เพื่อไฮไลต์ในรายการเพื่อให้คุณสามารถดูว่าไฟล์ใดอยู่ในไดรฟ์และ ดูว่ามันมีการแยกส่วนหรือไม่ มันไม่ได้มีประโยชน์มากสำหรับคนส่วนใหญ่ แต่หวังว่าคุณจะมีสถานการณ์ที่คุณอาจจำเป็นต้องใช้.

Disk2vhd เปลี่ยนพีซีให้เป็นฮาร์ดไดรฟ์เสมือนจริง

ยูทิลิตี้นี้สร้างโคลนของฮาร์ดไดรฟ์ของคอมพิวเตอร์ของคุณในขณะที่ทำงานและรวมเข้าไว้ในไฟล์ฮาร์ดไดรฟ์เสมือนที่สามารถใช้ในเครื่องเสมือนได้ และจะทำเช่นนี้ในขณะที่พีซีกำลังทำงาน.

ถูกต้องคุณสามารถสร้างเครื่องเสมือนของฮาร์ดไดรฟ์ในขณะที่คอมพิวเตอร์กำลังทำงาน นี่อาจเป็นประโยชน์อย่างยิ่งสำหรับสถานการณ์ที่คุณต้องการทำการวิเคราะห์ทางนิติเวชของเครื่องจักร แต่ในคอมพิวเตอร์ของคุณเอง - คุณสามารถสร้างโคลนแล้วบูตมันเป็นเครื่องเสมือนแทน.

ตัวเลือกสำหรับ Vhdx บอกให้ Disk2vhd ใช้รูปแบบไฟล์ VHDX ที่ใหม่กว่าแทนรูปแบบไฟล์ VHD ซึ่งมีข้อ จำกัด มากมาย โดยค่าเริ่มต้น Disk2vhd จะสร้างไฟล์แยกกันสำหรับแต่ละฟิสิคัลไดรฟ์ แต่ใส่พาร์ติชั่นไว้ในไฟล์เดียวกัน หากคุณวางแผนที่จะแนบไฟล์ VHD นี้กับเครื่องเสมือนอื่นหรือแม้กระทั่งติดตั้งบนคอมพิวเตอร์ Windows ปกติคุณสามารถยกเลิกการเลือกพาร์ติชันที่คุณไม่ต้องการในรายการ หากคุณวางแผนที่จะสร้างเครื่องเสมือนจากมันคุณควรปล่อยให้ทุกอย่างถูกตรวจสอบ.

สามารถส่งไฟล์ VHD ไปยังไดรฟ์เดียวกันกับที่คุณกำลังทำสำเนาได้ แต่เราขอแนะนำให้ใช้ไดรฟ์ที่สองหากเป็นไปได้เพื่อให้ทุกอย่างรวดเร็วยิ่งขึ้น.

PageDefrag ล้าสมัย

ยูทิลิตีนี้อนุญาตให้คุณจัดเรียงข้อมูลไฟล์ระบบในระหว่างการบู๊ต แต่เนื่องจากมันไม่ทำงานบน Windows เวอร์ชั่นล่าสุดคุณควรข้ามมัน.

ซิงค์เขียนข้อมูลที่แคชไปยังดิสก์ของคุณ

ยูทิลิตี้นี้เพียงแค่ซิงค์ข้อมูลแคชทั้งหมดออกไปยังดิสก์เพื่อให้แน่ใจว่าการเปลี่ยนแปลงไฟล์ทั้งหมดถูกเขียนลงในไดรฟ์และไม่ได้เก็บไว้ในบัฟเฟอร์บางแห่ง แน่นอนคุณควรใช้ตัวเลือก Safely Remove ทุกครั้งหากคุณต้องการให้แน่ใจว่าคุณจะไม่สูญเสียข้อมูลเมื่อดึงแฟลชไดรฟ์.

การตรวจสอบดิสก์แสดงกิจกรรมฮาร์ดไดรฟ์แบบเรียลไทม์

ยูทิลิตี้นี้แสดงกิจกรรมฮาร์ดไดรฟ์ที่เกิดขึ้นจริงในแบบเรียลไทม์ - ภาคอ่านเขียนความยาวของข้อมูลทั้งหมดที่มี ปัญหาเดียวคือมันไม่ได้มีประโยชน์มากสำหรับคนส่วนใหญ่.

มีประโยชน์มากกว่านี้เล็กน้อยคือการตรวจสอบดิสก์“ Tray Disk Light” ที่คุณสามารถเลือกได้จากเมนูตัวเลือก เมื่อคุณเปิดใช้งานโหมดนั้นมันจะย้ายไปที่ถาดระบบและกะพริบเป็นสีแดงสำหรับการเขียน, สีเขียวสำหรับการอ่านหรือเป็นสีเทาเมื่อไม่มีอะไรเกิดขึ้น.

ถ้าเพียงไอคอนที่ตรงกับ Windows 8 ดีขึ้นเล็กน้อย.

VolumeID เปลี่ยนหมายเลขประจำตัวไดรฟ์

คุณเคยสังเกตไหมว่าไดรฟ์ทุกตัวมีหมายเลขซีเรียลที่มีลักษณะเหมือน 064B-1E81 หรืออะไรที่ไม่น่าสนใจเท่า ๆ กัน? หากคุณต้องการเปลี่ยนหมายเลขซีเรียลนั้นให้สนุกยิ่งขึ้นคุณสามารถทำได้โดยใช้ยูทิลิตี้ VolumeID ด้วยไวยากรณ์นี้:

volumeid XXXX-XXXX

โปรดทราบว่าไวยากรณ์ต้องใช้อักขระฐานสิบหกดังนั้นคุณจึงไม่สามารถพิมพ์ใน GEEK-1337 เหมือนที่เราทำเพราะมันไม่ทำงาน.

บทเรียนถัดไป

พรุ่งนี้เราจะสรุปซีรี่ส์โดยดูที่ยูทิลิตี้เล็ก ๆ น้อย ๆ ที่เราพลาดไปรวมถึงคำแนะนำในการใช้เครื่องมือทั้งหมดด้วยกันและเมื่อคุณควรดึงเครื่องมือแต่ละอัน.