Abbiamo quasi finito con la nostra serie di Geek School sugli strumenti di SysInternals e oggi parleremo di tutte le utility che ti aiutano a gestire file e cartelle, sia che tu stia trovando dati nascosti o cancellando in modo sicuro un file.
NAVIGAZIONE SCOLASTICA
Quali sono gli strumenti di SysInternals e come li usi?
Capire Process Explorer
Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
Comprensione del monitor di processo
Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
Utilizzo di Autoruns per gestire i processi di avvio e il malware
Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
Usare PsTools per controllare altri PC dalla riga di comando
Analisi e gestione di file, cartelle e unità
Avvolgimento e utilizzo degli strumenti insieme
Ci sono molte utility nel toolkit che trattano tutti i tipi di cose che sono collegate a file o cartelle o che trovano dati che non sapevi esistessero, e ce ne sono alcuni che sono un po 'stupidi. In ogni caso, li copriremo tutti.
I più importanti strumenti relativi ai file nel kit da conoscere sono probabilmente le utility di Sigcheck e degli Stream, ma sarebbe saggio leggerli attentamente tutti.
I flussi trova e visualizza gli stream NTFS nascosti
La maggior parte delle persone non conosce questa funzionalità, ma Windows ti consente di archiviare i dati all'interno di un compartimento nascosto nel file system chiamato flussi di dati alternativi. Questo funziona fondamentalmente aggiungendo due punti e una chiave univoca alla fine di un nome di file quando si interagisce con esso.
Ad esempio, se volessi nascondere alcuni dati in un file, potresti fare qualcosa di simileecho Secret> filename.txt: hiddenstuffe anche se hai aperto quel file di testo nel Blocco note, non vedresti il testo "Segreto" che hai aggiunto, e non ci sarebbe stato altro modo per sapere che era anche lì. In effetti, puoi fare quasi tutto ciò che vuoi usando questa tecnica. (Assicurati di leggere il nostro articolo sull'argomento per la spiegazione completa).
Questa è anche la tecnica che consente a Windows di sapere magicamente che i file sono stati scaricati da Internet, nascondendo i dati all'interno del campo Zone.Identifier. In effetti, è possibile eliminare questo flusso di dati alternativo utilizzando l'utility Stream.
La sintassi è semplice: per vedere gli stream, digitare quanto segue al prompt:
streams
Puoi anche usare "streams *.exe" o qualcosa di simile per vedere tutti i file con dati di streaming nascosti, se ce ne sono. Il modo più veloce per vedere qualcosa è entrare nella directory dei download ed eseguirla lì.
Per eliminare uno degli stream o molti di essi, puoi usare l'opzione -d:
streams -d
Puoi anche usare l'opzione -s per andare in sottodirectory in modo ricorsivo.
SigCheck analizza i file che non sono firmati digitalmente (come il malware)
Questa utilità molto utile analizza le firme digitali dei file sul tuo sistema e ti dice se sono validi o mancanti di un certificato. Puoi anche usarlo per controllare i file contro VirusTotal dalla riga di comando, il che è comodo, perché questo è il vero punto di questo strumento, è trovare il malware.
La sintassi normale e più utile consiste nell'aggiungere l'opzione -u, che riporta solo i problemi, e l'opzione -e, che controlla solo i file eseguibili. Quindi potresti eseguire qualcosa di simile per controllare la tua directory system32 e assicurarti che tutti i file siano firmati digitalmente. Qualsiasi altra cosa dovrebbe essere esaminata molto attentamente.
sigcheck -e -u C:WindowsSystem32
È inoltre possibile utilizzare l'opzione -v per un controllo aggiuntivo contro VirusTotal, ma è necessario utilizzare l'opzione -vt la prima volta per accettare i termini e le condizioni.
sigcheck -v -vt
Image
SDelete elimina i file in modo sicuro
Se sei il tipo paranoico, sarai felice di sapere che puoi cancellare in modo sicuro i file dalla riga di comando ogni volta che vuoi. Basta usare l'utilità sdelete per colpire il file con i protocolli di cancellazione conformi a DoD. (Naturalmente la NSA probabilmente ha ancora una copia del tuo file). La sintassi è semplice:
sdelete
In alternativa puoi pulire lo spazio libero su un disco usando ilsdelete -copzione, che richiederà più tempo, ma è una buona opzione se hai dimenticato di usare sdelete per rimuovere il file in primo luogo.
Image
Contig Deframmenta uno o più singoli file
Se si desidera deframmentare un solo file o un elenco di file, è possibile utilizzare l'utilità Contig per fare proprio questo. Certo, non hai davvero bisogno di deframmentare i file nelle moderne versioni di Windows che lo fanno automaticamente. E sì, se si utilizza un'unità a stato solido non si dovrebbe mai deframmentare né è necessario. Ma se assolutamente, in positivo, devi deframmentare un singolo file, questa è l'utilità per farlo. La sintassi è semplice:
contig
Se vuoi analizzare la frammentazione di un file senza effettivamente fare nulla, puoi usare l'opzione -a come mostrato di seguito:
Vale la pena notare che anche se un file è frammentato, se il file è molto grande e viene suddiviso in pochi pezzi di grandi dimensioni, non si ottiene sostanzialmente nulla dalla deframmentazione e si sprecherà più tempo ad infastidirlo rispetto a quanto si potrebbe risparmiare.
mostra l'utilizzo del disco
È sempre possibile fare clic con il pulsante destro del mouse su qualsiasi file o cartella in Esplora risorse e scegliere Proprietà oppure utilizzare la scorciatoia da tastiera ALT + INVIO per visualizzare le dimensioni di un file o di una cartella.Ma cosa succede se vuoi vedere quei dati dal prompt dei comandi? È qui che entra in gioco l'utilità du, ed è anche un po 'più accurata perché non conta i file simbolici collegati e controlla anche i flussi di dati alternativi.
L'opzione -n controlla solo una singola cartella, senza recursing in sottodirectory, mentre l'opzione -v fa recurse e mostra anche ogni directory come va l'elenco, e il -l (n) i controlli di opzione solo i livelli “n” profonde. Come in, -l 2 controllerebbe in profondità 2 livelli.
PendMoves Visualizza i file in movimento al prossimo riavvio
Ti sei mai chiesto perché le installazioni di applicazioni ti fanno riavviare il tuo computer? Di solito la risposta è che vogliono spostare alcuni file che non possono essere spostati mentre Windows è in esecuzione, quindi usano una funzionalità incorporata di Windows che gestisce lo spostamento o l'eliminazione di file al riavvio.
L'unica cosa che devi fare è eseguire il comando, e produrrà i dati. Perché una copia di Process Explorer è pianificata per spostarsi nella cartella Windows al prossimo riavvio? Continuare a leggere.
Image
MoveFiles sposta i file di sistema al riavvio
Questa utility utilizza la funzionalità integrata di Windows per pianificare uno spostamento, eliminare o rinominare un file o una directory in modo che si verifichi durante il successivo ciclo di riavvio, prima che Windows sia completamente caricato. La sintassi è molto semplice:
movefile
Se si desidera eliminare un file, è possibile utilizzare una destinazione vuota utilizzando le virgolette, comemovefile “”. Come puoi vedere nello screenshot qui sotto, abbiamo usato il comando Movefile per programmare una copia di Process Explorer da spostare nella directory di Windows per illustrare come funziona.
Image
Giunzione crea collegamenti simbolici
Windows supporta collegamenti simbolici per file e cartelle, in modo da poter avere più di un punto del percorso sullo stesso file per risparmiare spazio invece di avere più copie di un file. L'idea è simile alle scorciatoie, tranne che è a livello di file system e integrato in NTFS.
L'utilità Junction ti consente di creare ed eliminare facilmente questi collegamenti. Puoi anche eliminarli usandogiunzione -d .
junction
La realtà, tuttavia, è che Windows da quando Vista ha avuto la possibilità di creare collegamenti simbolici con il comando mklink, e si potrebbe anche usare quello.
FindLinks trova collegamenti reali ai file
Questa piccola utilità trova tutti i collegamenti fisici che puntano a un file. Gli hard link sono diversi dai link simbolici in quanto l'eliminazione di un hard link non cancella il file se ci sono più hard link a quel file, sembra che lo elimini fino a quando non avrai cancellato tutti i collegamenti. Una volta eliminato il collegamento fisso finale, il file verrà eliminato.
Nota: questo potrebbe effettivamente essere un modo interessante per assicurarsi che un determinato file non sia realmente cancellato da qualcuno che ha l'abitudine di cancellare i file. Basta creare un hard link a tutti i file che non vuoi che perdano.
In ogni caso, puoi usare questo comando abbastanza facilmente:
findlinks
L'unico problema è che Windows 7 e 8 hanno un comando integrato che fa la stessa cosa. Usa questo invece:
fsutil hardlink list
Nota:È sempre meglio imparare a usare le cose incorporate quando possibile, perché non sai mai quando dovrai fare qualcosa sul computer di qualcun altro quando non hai il tuo toolkit.
DiskView visualizza la struttura del disco
Questa utility ti permette di vedere la struttura del tuo disco rigido in modo molto dettagliato, e puoi anche ingrandire fino in fondo e scegliere un file da evidenziare nell'elenco, in modo da poter vedere dove si trova un determinato file sul disco, e anche vedere se è frammentato o no. Non è terribilmente utile per la maggior parte delle persone, ma si spera che tu abbia uno scenario in cui potresti aver bisogno di usarlo.
Image
Disk2vhd trasforma i PC in dischi rigidi virtuali
Questa utility crea un clone del disco rigido del tuo computer mentre è in esecuzione e raggruppa tutto in un file Virtual Hard Drive che può essere utilizzato in una macchina virtuale. E lo fa mentre il PC è in esecuzione.
Esatto, puoi creare una macchina virtuale del tuo disco rigido mentre il tuo computer è in esecuzione. Ciò potrebbe anche essere di grande aiuto per gli scenari in cui si desidera eseguire un'analisi forense di una macchina, ma sul proprio computer: è sufficiente creare un clone e quindi avviarlo come una macchina virtuale.
L'opzione per Vhdx indica a Disk2vhd di utilizzare il formato di file VHDX più recente invece del formato di file VHD, che presentava una serie di limitazioni. Di default Disk2vhd creerà file separati per ogni unità fisica, ma inserirà le partizioni nello stesso file. Se si pianifica semplicemente di allegare questo file VHD a un'altra macchina virtuale, o anche solo di montarlo su un normale computer Windows, è possibile deselezionare le partizioni che non sono necessarie nell'elenco. Se pensi di farne una macchina virtuale, dovresti lasciare tutto controllato.
Il file di output VHD può essere effettivamente posizionato sulla stessa unità di cui si sta facendo una copia, ma consigliamo di utilizzare una seconda unità, se possibile, per rendere tutto più veloce.
PageDefrag è Obsoleto
Questa utility ti ha permesso di deframmentare i file di sistema durante l'avvio, ma dal momento che non funziona sulle versioni recenti di Windows, devi saltarlo.
Sync Scrive i dati memorizzati nella cache sul disco
Questa utility sincronizza semplicemente tutti i dati memorizzati nella cache sul disco per assicurarsi che tutte le modifiche ai file vengano scritte sull'unità e non memorizzate in qualche buffer. Ovviamente, dovresti usare l'opzione Rimozione sicura ogni volta se vuoi essere sicuro di non perdere i dati quando estrai una chiavetta USB.
Image
Disk Monitor ti mostra in tempo reale l'attività del disco rigido
Questa utility mostra l'effettiva attività del disco rigido in tempo reale - settori, letture, scritture, la lunghezza dei dati, è tutto lì.L'unico problema è che non è terribilmente utile per la maggior parte delle persone.
Ciò che è un po 'più utile, forse, è il controllo del disco "Tray Disk Light" che puoi scegliere dal menu Opzioni. Una volta abilitata, la modalità si sposterà nella barra delle applicazioni e lampeggerà in rosso per le scritture, verde per le letture, o resterà grigia quando non accade nulla.Se solo l'icona corrispondesse a Windows 8 un po 'meglio.
VolumeID Modifica il numero di serie dell'unità
Avete mai notato come ogni unità abbia un numero seriale che assomiglia a 064B-1E81 o qualcosa di altrettanto poco interessante? Se vuoi cambiare quel numero seriale in qualcosa di più divertente, puoi farlo usando l'utility VolumeID con questa sintassi:
volumeid XXXX-XXXX
Si noti che la sintassi richiede l'uso di caratteri esadecimali, quindi non è possibile digitare GEEK-1337 come abbiamo fatto, perché semplicemente non funzionerà.
Image
Prossima lezione
Domani andremo a concludere la serie con uno sguardo ad alcune delle piccole utility che ci mancano, oltre ad alcune indicazioni sull'utilizzo di tutti gli strumenti insieme e su quando dovresti estrarre ogni strumento.
Il browser Firefox ha un gestore profili utente di Firefox incorporato che memorizza tutte le informazioni personali relative a un utente quali impostazioni, segnalibri, ecc. In un unico punto. Impara a creare più profili utente di Firefox.
Folder Guide ti consente di accedere rapidamente alle cartelle utilizzate di frequente in 2 clic in Windows 7, anche a 64 bit. Leggi recensione, descrizione e download gratuiti.
Elimina, ripulisci, rimuovi file e cartelle indesiderati dalle unità rimovibili con USBDriveFresher. Usa questo spazzolone gratuito per la tua chiavetta USB e richiedi spazio
Folders Il freeware Popup ti consente di sfogliare e navigare rapidamente tra le cartelle, i file e i documenti utilizzati di frequente in Windows 8/7.
La funzione Compressione file di Windows ti consente di comprimere file, cartelle e unità per liberare spazio su disco in Windows 7. Scopri come si comportano i file compresso, cartella, unità!
