Startseite » Schule » Analysieren und Verwalten von Dateien, Ordnern und Laufwerken

    Analysieren und Verwalten von Dateien, Ordnern und Laufwerken

    Wir sind fast fertig mit unserer Geek School-Serie über SysInternals-Tools. Heute werden wir über alle Hilfsprogramme sprechen, die Ihnen beim Umgang mit Dateien und Ordnern helfen - egal, ob Sie versteckte Daten finden oder eine Datei sicher löschen.

    SCHULNAVIGATION
    1. Was sind die SysInternals-Tools und wie verwenden Sie sie??
    2. Prozess-Explorer verstehen
    3. Verwenden von Process Explorer zur Fehlerbehebung und Diagnose
    4. Prozessmonitor verstehen
    5. Verwenden von Process Monitor zur Problembehandlung und zum Suchen von Registrierungs-Hacks
    6. Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware
    7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
    8. Verwenden von PsTools zur Steuerung anderer PCs über die Befehlszeile
    9. Analysieren und Verwalten von Dateien, Ordnern und Laufwerken
    10. Zusammenfassen und Verwenden der Tools

    Das Toolkit enthält einige Hilfsprogramme, die sich mit allen möglichen Dingen befassen, die mit Dateien oder Ordnern zusammenhängen, oder nach Daten suchen, von denen Sie nicht wussten, dass sie vorhanden waren. So oder so werden wir sie alle abdecken.

    Die wichtigsten dateibezogenen Tools im Kit sind wahrscheinlich die Dienstprogramme Sigcheck und Streams, aber es wäre ratsam, sie alle sorgfältig durchzulesen.

    Streams Findet versteckte NTFS-Streams und zeigt sie an

    Die meisten Benutzer wissen nichts über diese Funktion, aber Windows ermöglicht das Speichern von Daten in einem versteckten Fach im Dateisystem, das als alternative Datenströme bezeichnet wird. Dies funktioniert im Wesentlichen, indem bei der Interaktion ein Doppelpunkt und ein eindeutiger Schlüssel an das Ende eines Dateinamens angehängt werden.

    Wenn Sie beispielsweise Daten in einer Datei ausblenden möchten, können Sie beispielsweise Folgendes tun echo Secret> filename.txt: hiddenstuff Selbst wenn Sie diese Textdatei in Notepad geöffnet haben, wird der von Ihnen hinzugefügte „Geheimtext“ nicht angezeigt, und es gibt keinen anderen Weg, um zu wissen, dass er überhaupt vorhanden ist. In der Tat können Sie mit dieser Technik fast alles tun, was Sie möchten. (Lesen Sie unseren Artikel zu diesem Thema, um eine vollständige Erklärung zu erhalten.).

    Dies ist auch die Technik, mit der Windows auf magische Weise wissen kann, dass Dateien aus dem Internet heruntergeladen wurden, indem Daten im Feld Zone.Identifier ausgeblendet werden. Sie können diesen alternativen Datenstrom auch mit dem Streams-Dienstprogramm löschen.

    Die Syntax ist einfach: Um die Streams anzuzeigen, geben Sie an der Eingabeaufforderung Folgendes ein:

    Ströme

    Sie können auch "streams * .exe" oder ähnliches verwenden, um alle Dateien mit versteckten Stream-Daten anzuzeigen, sofern vorhanden. Der schnellste Weg, etwas zu sehen, besteht darin, in Ihr Download-Verzeichnis zu gehen und es dort auszuführen.

    Um einen oder mehrere Streams zu löschen, können Sie die Option -d verwenden:

    Streams -d

    Sie können auch die Option -s verwenden, um rekursiv in Unterverzeichnisse zu wechseln.

    SigCheck analysiert Dateien, die nicht digital signiert sind (wie Malware)

    Dieses sehr nützliche Dienstprogramm analysiert die digitalen Signaturen von Dateien in Ihrem System und zeigt an, ob sie gültig sind oder ein Zertifikat fehlen. Sie können es auch verwenden, um Dateien von der Befehlszeile aus auf VirusTotal zu überprüfen. Dies ist praktisch, da es sich bei diesem Tool um das Finden von Malware handelt.

    Die normale und nützlichste Syntax ist das Hinzufügen des Befehls -u, der nur Probleme meldet, und des Befehls -e, der nur ausführbare Dateien prüft. Sie können also so etwas ausführen, um Ihr system32-Verzeichnis zu überprüfen und sicherzustellen, dass alle Dateien digital signiert sind. Alles andere sollte sehr genau geprüft werden.

    sigcheck -e -u C: \ Windows \ System32

    Sie können die Option -v auch für eine zusätzliche Überprüfung von VirusTotal verwenden. Sie müssen jedoch beim ersten Mal die Option -vt verwenden, um deren Bedingungen zu akzeptieren.

    Sigcheck -v -vt

    SDelete löscht Dateien sicher

    Wenn Sie der paranoide Typ sind, werden Sie froh sein zu können, dass Sie Dateien jederzeit sicher von der Befehlszeile löschen können. Verwenden Sie einfach das Dienstprogramm sdelete, um die Datei mit DoD-kompatiblen Löschprotokollen zu versehen. (Natürlich hat die NSA wahrscheinlich noch eine Kopie Ihrer Datei). Die Syntax ist einfach:

    sdelete

    Sie können den freien Speicherplatz auf einem Laufwerk alternativ mit dem Laufwerk löschen sdelete -c Diese Option dauert länger, ist jedoch eine gute Option, wenn Sie vergessen haben, sdelete zu verwenden, um die Datei an erster Stelle zu entfernen.

    Contig defragmentiert eine oder viele einzelne Dateien

    Wenn Sie nur eine einzelne Datei oder eine Liste von Dateien defragmentieren möchten, können Sie das Contig-Dienstprogramm verwenden. Sicher, Sie müssen Dateien in modernen Windows-Versionen, die dies automatisch tun, nicht wirklich defragmentieren. Und ja, wenn Sie ein Solid State-Laufwerk verwenden, sollten Sie niemals defragmentieren oder müssen. Wenn Sie jedoch unbedingt eine einzelne Datei defragmentieren müssen, müssen Sie dies unbedingt tun. Die Syntax ist einfach:

    contig

    Wenn Sie die Fragmentierung einer Datei analysieren möchten, ohne etwas zu tun, können Sie den Schalter -a wie folgt verwenden:

    Es ist erwähnenswert, dass selbst wenn eine Datei fragmentiert ist, wenn die Datei sehr groß ist und nur in einige große Stücke zerbrochen ist, Sie durch das Defragmentieren im Wesentlichen nichts gewinnen und mehr Zeit damit verbracht haben, als Sie sparen würden.

    du zeigt die Datenträgerverwendung

    Sie können jederzeit mit der rechten Maustaste auf eine beliebige Datei oder einen Ordner in Windows Explorer klicken und Eigenschaften auswählen oder die Tastenkombination ALT + ENTER verwenden, um die Größe einer Datei oder eines Ordners anzuzeigen. Was aber, wenn Sie diese Daten an der Eingabeaufforderung sehen möchten? Hier kommt das du-Dienstprogramm zum Einsatz, und es ist auch etwas genauer, da es keine symbolisch verknüpften Dateien zählt und auch alternative Datenströme überprüft.

    Die Option -n prüft nur einen einzelnen Ordner, ohne in Unterverzeichnisse zu rekursieren, während die Option -v rekursiv ist und jedes Verzeichnis beim Durchlaufen der Liste anzeigt. Mit der Option -l (n) werden nur "n" -Ebenen geprüft. Wie in, würde -l 2 2 Ebenen tief prüfen.

    PendMoves zeigt Dateien an, die beim nächsten Neustart ausgeführt werden

    Haben Sie sich jemals gefragt, warum die Installation von Anwendungen dazu führt, dass Sie Ihren Computer neu starten? Die Antwort ist in der Regel, dass einige Dateien verschoben werden sollen, die bei laufendem Windows nicht verschoben werden können. Sie verwenden daher eine integrierte Windows-Funktion, die das Verschieben oder Löschen von Dateien beim Neustart übernimmt.

    Das einzige, was Sie tun müssen, ist den Befehl auszuführen, der die Daten ausgibt. Warum soll beim nächsten Neustart eine Kopie von Process Explorer in den Windows-Ordner verschoben werden? Weiter lesen.

    MoveFiles Verschiebt Systemdateien beim Neustart

    Dieses Dienstprogramm verwendet die integrierte Windows-Funktion, um das Verschieben, Löschen oder Umbenennen einer Datei oder eines Verzeichnisses so zu planen, dass es beim nächsten Neustart vor dem vollständigen Laden von Windows ausgeführt wird. Die Syntax ist sehr einfach:

    Datei bewegen

    Wenn Sie eine Datei löschen möchten, können Sie ein leeres Ziel verwenden, indem Sie Anführungszeichen wie verwenden Datei bewegen "". Wie Sie in der Abbildung unten sehen können, haben wir den Befehl "Movefile" verwendet, um eine Kopie des Prozess-Explorers so zu planen, dass er in das Windows-Verzeichnis verschoben wird, um zu veranschaulichen, wie alles funktioniert.

    Kreuzung erstellt symbolische Verknüpfungen

    Windows unterstützt symbolische Links für Dateien und Ordner, sodass mehr als ein Pfad auf dieselbe Datei verweisen kann, um Platz zu sparen, anstatt mehrere Kopien einer Datei zu erstellen. Die Idee ist ähnlich wie bei Verknüpfungen, nur dass dies auf Dateisystemebene erfolgt und in NTFS integriert ist.

    Mit dem Junction-Dienstprogramm können Sie diese Links problemlos erstellen und löschen. Sie können sie auch mit löschen Kreuzung -d .

    Kreuzung

    Die Realität ist jedoch, dass Windows seit Vista die Möglichkeit hat, mit dem Befehl mklink Symlinks zu erstellen, und Sie können stattdessen auch diesen Link verwenden.

    FindLinks Findet feste Links zu Dateien

    Dieses kleine Dienstprogramm findet alle harten Links, die auf eine Datei verweisen. Hardlinks unterscheiden sich von symbolischen Links dadurch, dass durch das Löschen eines Hardlinks die Datei nicht wirklich gelöscht wird, wenn mehr Hardlinks zu dieser Datei vorhanden sind. Es scheint nur, sie zu löschen, bis Sie alle Hardlinks gelöscht haben. Sobald Sie den endgültigen Hardlink löschen, wird die Datei gelöscht.

    HinweisDies könnte tatsächlich eine interessante Möglichkeit sein, um sicherzustellen, dass eine bestimmte Datei nicht wirklich von jemandem gelöscht wird, der die Angewohnheit hat, Dateien zu löschen. Erstellen Sie einfach einen Hardlink zu allen Dateien, die nicht verloren gehen sollen.

    In jedem Fall können Sie diesen Befehl leicht genug verwenden:

    Links finden

    Das einzige Problem ist, dass Windows 7 und 8 über einen integrierten Befehl verfügen, der dasselbe tut. Verwenden Sie stattdessen diese:

    Fsutil Hardlink-Liste

    Hinweis: Es ist immer besser, wenn möglich zu lernen, das integrierte Material zu verwenden, da Sie nie wissen, wann Sie etwas auf dem Computer eines anderen Computers tun müssen, wenn Sie kein Toolkit haben.

    DiskView Zeigt die Festplattenstruktur an

    Mit diesem Dienstprogramm können Sie die Struktur Ihrer Festplatte sehr detailliert anzeigen. Sie können sogar ganz hineinzoomen und eine Datei auswählen, die in der Liste markiert werden soll. So können Sie sehen, wo sich eine bestimmte Datei auf der Festplatte befindet Sehen Sie, ob es fragmentiert ist oder nicht. Es ist für die meisten Menschen nicht besonders nützlich, aber hoffentlich haben Sie ein Szenario, in dem Sie es möglicherweise verwenden müssen.

    Disk2vhd Verwandelt PCs in virtuelle Festplatten

    Dieses Dienstprogramm erstellt einen Klon der Festplatte Ihres Computers, während es ausgeführt wird, und bündelt alles in einer virtuellen Festplatte, die in einer virtuellen Maschine verwendet werden kann. Und das während der PC läuft.

    Das ist richtig, Sie können eine virtuelle Maschine von Ihrer Festplatte erstellen, während Ihr Computer läuft. Dies kann auch in Situationen hilfreich sein, in denen Sie eine forensische Analyse einer Maschine auf Ihrem eigenen Computer durchführen möchten - Sie können einfach einen Klon erstellen und ihn stattdessen als virtuelle Maschine starten.

    Die Option für Vhdx weist Disk2vhd an, das neuere VHDX-Dateiformat anstelle des VHD-Dateiformats zu verwenden, das eine Reihe von Einschränkungen hatte. Standardmäßig erstellt Disk2vhd separate Dateien für jedes physische Laufwerk, fügt jedoch Partitionen in dieselbe Datei ein. Wenn Sie einfach planen, diese VHD-Datei an eine andere virtuelle Maschine anzuhängen oder sie einfach auf einem normalen Windows-Computer zu mounten, können Sie Partitionen deaktivieren, die Sie nicht in der Liste benötigen. Wenn Sie vorhaben, eine virtuelle Maschine daraus zu erstellen, sollten Sie wahrscheinlich alles in Ruhe lassen.

    Die VHD-Ausgabedatei kann tatsächlich auf demselben Laufwerk abgelegt werden, von dem Sie eine Kopie erstellen. Wir empfehlen jedoch, wenn möglich, ein zweites Laufwerk zu verwenden, um alles schneller zu machen.

    PageDefrag ist veraltet

    Mit diesem Dienstprogramm können Sie Systemdateien während des Startvorgangs defragmentieren. Da dies jedoch bei neueren Windows-Versionen nicht möglich ist, sollten Sie es überspringen.

    Bei der Synchronisierung werden zwischengespeicherte Daten auf die Festplatte geschrieben

    Dieses Dienstprogramm synchronisiert einfach alle zwischengespeicherten Daten auf die Festplatte, um sicherzustellen, dass alle Dateiänderungen auf das Laufwerk geschrieben und nicht irgendwo in einem Puffer gespeichert werden. Natürlich sollten Sie die Option Sicheres Entfernen jedes Mal verwenden, wenn Sie beim Ziehen eines Flash-Laufwerks sicherstellen möchten, dass keine Daten verloren gehen.

    Der Festplattenmonitor zeigt Ihnen die Aktivität Ihrer Festplatte in Echtzeit

    Dieses Dienstprogramm zeigt die tatsächliche Festplattenaktivität in Echtzeit an - Sektoren, Lese- und Schreibvorgänge, die Länge der Daten, alles ist vorhanden. Das einzige Problem ist, dass es für die meisten Menschen nicht besonders nützlich ist.

    Was vielleicht ein bisschen nützlicher ist, ist vielleicht die Festplattenüberwachung "Tray Disk Light", die Sie im Menü "Optionen" auswählen können. Wenn Sie diesen Modus aktivieren, wird er in die Taskleiste verschoben und blinkt rot für Schreibvorgänge, grün für Lesevorgänge oder bleibt grau, wenn nichts passiert.

    Wenn nur das Symbol mit Windows 8 etwas besser übereinstimmt.

    VolumeID Ändert die Seriennummer des Laufwerks

    Ist Ihnen schon einmal aufgefallen, dass jedes Laufwerk eine Seriennummer hat, die wie 064B-1E81 aussieht, oder etwas, das genauso uninteressant ist? Wenn Sie diese Seriennummer in etwas mehr Spaß ändern möchten, können Sie dies mit dem VolumeID-Dienstprogramm mit der folgenden Syntax tun:

    volumeid XXXX-XXXX

    Bitte beachten Sie, dass die Syntax die Verwendung von Hexadezimalzeichen erfordert, sodass Sie den GEEK-1337 nicht wie wir eingeben können, da er einfach nicht funktioniert.

    Nächste Lektion

    Morgen werden wir die Serie mit einem Blick auf einige der kleinen Hilfsprogramme abschließen, die wir vermisst haben, sowie einige Anleitungen, wie Sie alle Werkzeuge zusammen verwenden und wann Sie die einzelnen Werkzeuge herausziehen sollten.