NAVIGACIJA ŠKOLE
- Koji su alati SysInternals i kako ih koristite?
- Razumijevanje procesa Explorer
- Upotrebljavajući Process Explorer za otklanjanje poteškoća i dijagnosticiranje
- Razumijevanje procesnog nadzora
- Korištenje Process Monitor za otklanjanje poteškoća i pronalaženje hackova registra
- Upotreba autoruna za rješavanje procesa pokretanja i zlonamjernog softvera
- Korištenje BgInfo-a za prikaz informacija o sustavu na radnoj površini
- Koristeći PsTools za upravljanje drugim računalima iz Command Line
- Analiza i upravljanje datotekama, mapama i pogonima
- Zatvaranje i upotreba alata zajedno
U alatnoj traci ima dosta alata koji se bave raznim stvarima povezanim s datotekama ili mapama ili pronalaženjem podataka koje niste znali da postoji, a postoji i nekoliko koji su malo na glupoj strani. Bilo kako bilo, sve ćemo ih pokriti.
Najvažniji alati povezani s datotekom u kompletu za upoznavanje su vjerojatno Sigcheck i Streams programi, ali bilo bi dobro pročitati ih sve pažljivo.
Streamovi pronalaze i prikazuju skrivene NTFS streamove
Većina ljudi ne zna za ovu značajku, ali Windows će vam omogućiti spremanje podataka u skrivenom odjeljku u datotečnom sustavu zvanom alternativni tok podataka. To u osnovi funkcionira dodavanjem debelog crijeva i jedinstveni ključ do kraja naziva datoteke u interakciji s njom.
Na primjer, ako želite sakriti neke podatke u datoteci, možete učiniti nešto sličnoecho Secret> filename.txt: skrivenačak i ako ste otvorili tu tekstualnu datoteku u Notepad, ne biste vidjeli tajni tekst koji ste dodali, a ne bi postojao drugi način da se zna da je čak i tamo. Zapravo, možete učiniti gotovo sve što želite koristeći ovu tehniku. (Obavezno pročitajte naš članak o toj temi za puno objašnjenje).
Ovo je također tehnika koja Windowsu omogućuje da magično znaju da su datoteke preuzete s interneta skrivajući podatke unutar polja Zone.Identifier. Zapravo, taj alternativni tok podataka možete izbrisati pomoću uslužnog programa Streams.
Sintaksa je jednostavna - da biste vidjeli streamove, upišite sljedeće na upit:
streams
Također možete koristiti "streams *.exe" ili nešto slično da biste vidjeli sve datoteke s skrivenim stream podataka, ako ih ima. Najbrži način da vidite nešto jest da krenete u svoj katalog za preuzimanje i pokrenete ga tamo.
streams -d
Također možete upotrijebiti -s opciju za rekurzivno otvaranje poddirektorija.
SigCheck analizira datoteke koje nisu digitalno potpisane (poput zlonamjernog softvera)
Ovaj vrlo koristan alat analizira digitalne potpise datoteka na vašem sustavu i govori o tome jesu li važeći ili nedostaju certifikat. Također ga možete upotrijebiti da biste provjerili datoteke protiv VirusTotala iz naredbenog retka, što je prikladno, jer je to prava stvar ovog alata, pronaći zlonamjerni softver.
Uobičajena i najkorisnija sintaksa je dodavanje -u prekidača koji samo prijavljuje probleme i -e prekidač, koji samo provjerava izvršne datoteke. Dakle, možete pokrenuti nešto slično kako biste provjerili direktorij sustava32 i provjerite jesu li sve datoteke digitalno potpisane. Sve ostalo bi se trebalo pomno ispitati.
sigcheck -e -u C:WindowsSystem32
Također možete upotrijebiti -v opciju za dodatnu provjeru protiv VirusTotal, ali ćete morati koristiti opciju -vt prvi put da prihvatite njihove uvjete i odredbe.
sigcheck -v -vt
SDelete sigurno briše datoteke
Ako ste paranoidni tip, rado ćete znati da možete sigurno obrisati datoteke iz naredbenog retka kad god poželite. Jednostavno upotrijebite program sdelete da biste zapisali datoteku s protokolima brisanja koji su u skladu s DoD-om. (Naravno, NSA vjerojatno još uvijek ima kopiju datoteke). Sintaksa je jednostavna:
sdelete
Alternativno možete očistiti slobodni prostor na pogonu pomoćusdelete -copcija, koja će trajati dulje, ali je dobra opcija ako ste zaboravili koristiti sdelete kako biste uklonili datoteku na prvom mjestu.
Jedan ili više pojedinačnih datoteka
Ako želite defragmentirati samo jednu datoteku ili popis datoteka, možete koristiti program Contig da to učinite upravo to. Naravno, zapravo ne morate defragirati datoteke u suvremenim verzijama sustava Windows koje to automatski čine. I da, ako koristite solid state drive, nikada ne biste trebali defragmentirati niti trebate. Ali ako apsolutno, pozitivno, morate defragmentirati jednu datoteku, ovo je korisnost za to. Sintaksa je jednostavna:
contig
Ako želite analizirati fragmentaciju datoteke bez da zapravo radite ništa, možete upotrijebiti preklopku-a kao što je prikazano u nastavku:
du prikazuje uporabu diska
U Windows Exploreru uvijek možete desnom tipkom miša kliknuti bilo koju datoteku ili mapu i odabrati Svojstva ili upotrijebiti ALT + ENTER tipkovnički prečac da biste vidjeli veličinu datoteke ili mape.Ali što ako želite vidjeti podatke iz naredbenog retka? Tamo dolazi i uslužni program du, a to je i malo točniji jer ne broji simboličke povezane datoteke i provjerava alternativne tokove podataka.
PendMoves prikazuje datoteke kako se kreće na sljedećem ponovnom pokretanju
Jeste li se ikad zapitali zašto aplikacijske instalacije ponovno pokreću računalo? Odgovor je obično da žele premjestiti neke datoteke oko kojih se ne može pomicati dok Windows radi, tako da koriste ugrađenu značajku sustava Windows koja obrađuje premještanje ili brisanje datoteka pri ponovnom pokretanju.
Jedina stvar koju trebate učiniti je pokrenuti naredbu i ona će izlaziti podatke. Zašto je kopija Process Explorera zakazana za premještanje u mapu Windows na sljedećem ponovnom pokretanju? Nastavi čitati.
MoveFiles premješta datoteke sustava kada ponovo pokrenete računalo
Ovaj uslužni program koristi ugrađenu značajku sustava Windows za zakazivanje premještanja, brisanja ili preimenovanja datoteke ili direktorija kako bi se to dogodilo tijekom sljedećeg ciklusa ponovnog pokretanja, prije nego što je Windows u potpunosti učitan. Sintaksa je stvarno jednostavna:
movefile
Ako želite izbrisati datoteku, možete upotrijebiti prazno odredište pomoću navodnika, npr.movefile Kao što možete vidjeti na snimci zaslona u nastavku, koristili smo naredbu Movefile kako bismo zakazali kopiju procesora da se premjestimo u direktorij Windows kako bismo ilustrirali način funkcioniranja.
Spojnica stvara simboličke veze
Windows podržava simboličke veze za datoteke i mape, tako da možete imati više od jedne putne točke za istu datoteku kako biste uštedjeli prostor umjesto da imate više kopija datoteke. Ideja je slična prečacima, osim što je na razini datotečnog sustava i ugrađena u NTFS.
Uslužni program Junction omogućuje vam jednostavno stvaranje i brisanje tih veza. Možete ih i izbrisati pomoćuspoj -d
junction
Stvarnost je, međutim, da je Windows od Vista imao sposobnost stvaranja simboličkih veza s naredbom mklink, a vi svibanj također koristiti taj umjesto toga.
FindLinks pronalazi tvrde veze s datotekama
Ovaj mali uslužni program pronalazi sve hard linkove koji upućuju na datoteku. Tvrde veze razlikuju se od simboličkih veza jer brisanje jedne tvrdih veza zapravo ne briše datoteku ako postoje više tvrdih veza na tu datoteku, samo je izgleda da je izbrišete sve dok niste izbrisali sve hard linkove. Kada izbrišete konačnu tvrdnju, datoteka će se izbrisati.
Bilješka: ovo bi moglo biti zanimljiv način da se ne bi izbrisala određena datoteka od strane nekoga tko ima naviku brisanja datoteka. Samo stvorite čvrstu vezu sa svim datotekama koje ne želite da ih izgube.
U svakom slučaju, ovu naredbu možete jednostavno upotrijebiti:
findlinks
Jedini problem je da Windows 7 i 8 imaju ugrađenu naredbu koja čini istu stvar. Koristite ovo umjesto toga:
fsutil hardlink list
Bilješka:Uvijek je bolje naučiti upotrijebiti ugrađene stvari kada je to moguće jer nikad ne znate kada ćete morati nešto raditi na računalu nekog drugog ako nemate svoj alat.
DiskView prikazuje strukturu diska
Ovaj alat vam omogućuje da vidite strukturu vašeg tvrdog diska u velikom detalju, a čak možete zumirati sve do i odabrati datoteku označiti na popisu, tako da možete vidjeti gdje je određena datoteka na pogonu, a također vidjeti je li fragmentirana ili ne. To nije strašno korisno za većinu ljudi, ali nadamo se da imate scenarij gdje biste ga morali koristiti.
Disk2vhd pretvara računala u virtualne tvrde diskove
Ovaj uslužni program stvara klon vašeg tvrdog diska računala dok je pokrenut i sve to snima u datoteku virtualnog tvrdog diska koja se može koristiti u virtualnom stroju. I to radi dok je računalo pokrenuto.
Tako je, možete stvoriti virtualni stroj vašeg tvrdog diska dok je računalo pokrenuto. To bi također moglo biti korisno za scenarije gdje želite napraviti neku forenzičku analizu stroja, ali na vlastitom računalu - mogli ste samo stvoriti klon, a zatim ga pokrenuti kao virtualni stroj.
Opcija za Vhdx govori da Disk2vhd koristi novi format VHDX datoteke umjesto VHD formata, koji je imao određena ograničenja. Po defaultu Disk2vhd će stvoriti zasebne datoteke za svaki fizički pogon, ali staviti particije u istu datoteku. Ako jednostavno planirate priložiti ovu VHD datoteku na drugi virtualni stroj, ili čak ga samo montirati na redovito Windows računalo, možete isključiti particiju koja vam nije potrebna na popisu. Ako planirate izvući virtualni stroj, vjerojatno biste trebali ostaviti sve provjereno.
PageDefrag je zastario
Taj vam je uslužni program dopustio da defragmentirate datoteke sustava tijekom pokretanja, ali budući da ne radi na najnovijim verzijama sustava Windows, trebali biste ga preskočiti.
Sinkronizira spremljene podatke na vaš disk
Ovaj uslužni program jednostavno sinkronizira sve spremljene podatke na disk kako bi se uvjerile da su sve izmjene datoteka zapisane na pogon i da se negdje ne pohranjuju u neki spremnik. Naravno, svaki put trebate koristiti opciju Sigurno uklanjanje ako želite biti sigurni da nećete izgubiti podatke kada povlačite flash pogon.
Disk Monitor pokazuje aktivnost tvrdog diska u realnom vremenu
Ovaj uslužni program prikazuje stvarnu aktivnost tvrdog diska koja se događa u stvarnom vremenu - sektorima, čitanjima, zapisima, duljini podataka, sve je tamo.Jedini problem je da to nije strašno korisno za većinu ljudi.
VolumeID mijenja serijski broj pogona
Jeste li ikada primijetili kako svaki pogon ima serijski broj koji izgleda kao 064B-1E81 ili nešto slično nezanimljivo? Ako želite promijeniti taj serijski broj na nešto zabavnije, to možete učiniti koristeći program VolumeID pomoću ove sintakse:
volumeid XXXX-XXXX
Napominjemo da sintaksa zahtijeva upotrebu heksadecimalnih znakova, tako da ne možete upisati GEEK-1337 kao i mi, jer to jednostavno neće funkcionirati.
Sljedeća lekcija
Sutra ćemo završiti seriju s osvrtom na neke od malih komunalnih usluga koje smo propustili, kao i neke smjernice o zajedničkom korištenju svih alata i kada biste trebali izvući svaki alat.