Connect with us

Schule

Analysieren und Verwalten Ihrer Dateien, Ordner und Laufwerke

Analysieren und Verwalten Ihrer Dateien, Ordner und Laufwerke

Wir sind fast fertig mit unserer Geek School-Reihe zu SysInternals-Tools, und heute werden wir über alle Dienstprogramme sprechen, die Ihnen beim Umgang mit Dateien und Ordnern helfen – ob Sie versteckte Daten finden oder eine Datei sicher löschen.

Es gibt eine ganze Reihe von Dienstprogrammen im Toolkit, die sich mit allen möglichen Dingen befassen, die sich auf Dateien oder Ordner beziehen oder Daten finden, von denen Sie nicht wussten, dass sie vorhanden sind, und es gibt einige, die etwas albern sind. In jedem Fall werden wir sie alle behandeln.

Die wichtigsten dateibezogenen Tools im Kit, die Sie kennenlernen sollten, sind wahrscheinlich die Dienstprogramme Sigcheck und Streams. Es ist jedoch ratsam, sie alle sorgfältig durchzulesen.

Streams Findet versteckte NTFS-Streams und zeigt sie an

Die meisten Benutzer kennen diese Funktion nicht, aber mit Windows können Sie Daten in einem versteckten Fach im Dateisystem speichern, das als alternative Datenströme bezeichnet wird. Dies funktioniert im Wesentlichen, indem bei der Interaktion ein Doppelpunkt und ein eindeutiger Schlüssel an das Ende eines Dateinamens angehängt werden.

Wenn Sie beispielsweise einige Daten in einer Datei ausblenden möchten, können Sie Folgendes tun, und selbst wenn Sie diese Textdatei im Editor öffnen, wird der von Ihnen hinzugefügte „geheime“ Text nicht angezeigt, und es gibt keinen anders zu wissen, dass es sogar da war. Tatsächlich können Sie mit dieser Technik fast alles tun, was Sie wollen. (Lesen Sie unbedingt unseren Artikel zu diesem Thema, um die vollständige Erklärung zu erhalten.)

Dies ist auch die Technik, mit der Windows auf magische Weise erkennt, dass Dateien aus dem Internet heruntergeladen wurden, indem Daten im Feld Zone.Identifier ausgeblendet werden. Tatsächlich können Sie diesen alternativen Datenstrom mit dem Dienstprogramm Streams löschen.

Die Syntax ist einfach: Um die Streams anzuzeigen, geben Sie an der Eingabeaufforderung Folgendes ein:

Streams

Sie können auch „Streams * .exe“ oder ähnliches verwenden, um alle Dateien mit versteckten Stream-Daten anzuzeigen, falls vorhanden. Der schnellste Weg, etwas zu sehen, besteht darin, in Ihr Download-Verzeichnis zu gehen und es dort auszuführen.

Um einen oder mehrere Streams zu löschen, können Sie die Option -d verwenden:

Streams -d

Sie können auch die Option -s verwenden, um rekursiv in Unterverzeichnisse zu wechseln.

SigCheck analysiert Dateien, die nicht digital signiert sind (wie Malware)

Dieses sehr nützliche Dienstprogramm analysiert die digitalen Signaturen von Dateien auf Ihrem System und zeigt an, ob sie gültig sind oder ein Zertifikat fehlt. Sie können es auch verwenden, um Dateien über die Befehlszeile gegen VirusTotal zu prüfen. Dies ist praktisch, da das eigentliche Ziel dieses Tools darin besteht, Malware zu finden.

Die normale und nützlichste Syntax besteht darin, den Schalter -u hinzuzufügen, der nur Probleme meldet, und den Schalter -e, der nur ausführbare Dateien überprüft. Sie können also so etwas ausführen, um Ihr system32-Verzeichnis zu überprüfen und sicherzustellen, dass alle Dateien dort digital signiert sind. Alles andere sollte sehr genau untersucht werden.

sigcheck -e -u C: Windows System32

Sie können die Option -v auch für eine zusätzliche Prüfung gegen VirusTotal verwenden. Sie müssen jedoch die Option -vt zum ersten Mal verwenden, um die allgemeinen Geschäftsbedingungen zu akzeptieren.

sigcheck -v -vt

SDelete löscht Dateien sicher

Wenn Sie der paranoide Typ sind, werden Sie froh sein zu wissen, dass Sie Dateien jederzeit sicher von der Befehlszeile löschen können. Verwenden Sie einfach das Dienstprogramm sdelete, um die Datei mit DoD-kompatiblen Löschprotokollen zu schlagen. (Natürlich hat die NSA wahrscheinlich noch eine Kopie Ihrer Datei). Die Syntax ist einfach:

sdelete

Alternativ können Sie den freien Speicherplatz auf einem Laufwerk mithilfe der Option bereinigen, die länger dauert. Dies ist jedoch eine gute Option, wenn Sie vergessen haben, die Datei zunächst mit sdelete zu entfernen.

Contig-Defragmentierungen Eine oder mehrere einzelne Dateien

Wenn Sie nur eine einzelne Datei oder eine Liste von Dateien defragmentieren möchten, können Sie dazu das Dienstprogramm Contig verwenden. Sicher, Sie müssen Dateien in modernen Windows-Versionen, die dies automatisch tun, nicht wirklich defragmentieren. Und ja, wenn Sie ein Solid-State-Laufwerk verwenden, sollten Sie niemals defragmentieren und müssen es auch nicht. Wenn Sie jedoch unbedingt eine einzelne Datei defragmentieren müssen, ist dies das Dienstprogramm, um dies zu tun. Die Syntax ist einfach:

contig

Wenn Sie die Fragmentierung einer Datei analysieren möchten, ohne etwas zu tun, können Sie den Schalter -a wie folgt verwenden:

Es ist erwähnenswert, dass selbst wenn eine Datei fragmentiert ist, wenn die Datei sehr groß ist und nur in wenige große Teile zerlegt wird, Sie im Wesentlichen nichts von der Defragmentierung profitieren und mehr Zeit damit verschwendet haben, als Sie sparen würden.

du Zeigt die Datenträgernutzung an

Sie können im Windows Explorer jederzeit mit der rechten Maustaste auf eine Datei oder einen Ordner klicken und Eigenschaften auswählen oder die Tastenkombination ALT + ENTER verwenden, um die Größe einer Datei oder eines Ordners anzuzeigen. Aber was ist, wenn Sie diese Daten an der Eingabeaufforderung sehen möchten? Hier kommt das Dienstprogramm du ins Spiel, und es ist auch etwas genauer, da es keine symbolisch verknüpften Dateien zählt und auch alternative Datenströme überprüft.

Die Option -n prüft nur einen einzelnen Ordner, ohne in Unterverzeichnisse zurückzukehren, während die Option -v rekursiv ausgeführt wird und jedes Verzeichnis beim Durchlaufen der Liste anzeigt und die Option -l (n) nur „n“ Ebenen tief prüft. Wie in würde -l 2 2 Ebenen tief prüfen.

PendMoves Zeigt Dateien an, die beim nächsten Neustart verschoben werden

Haben Sie sich jemals gefragt, warum Sie durch Anwendungsinstallationen Ihren Computer neu starten? Die Antwort lautet normalerweise, dass sie einige Dateien verschieben möchten, die während der Ausführung von Windows nicht verschoben werden können. Daher verwenden sie eine integrierte Windows-Funktion, die das Verschieben oder Löschen von Dateien beim Neustart übernimmt.

Sie müssen lediglich den Befehl ausführen und die Daten ausgeben. Warum soll eine Kopie von Process Explorer beim nächsten Neustart in den Windows-Ordner verschoben werden? Weiter lesen.

MoveFiles Verschiebt Systemdateien beim Neustart

Dieses Dienstprogramm verwendet die integrierte Windows-Funktion, um das Verschieben, Löschen oder Umbenennen einer Datei oder eines Verzeichnisses so zu planen, dass es beim nächsten Neustartzyklus erfolgt, bevor Windows vollständig geladen ist. Die Syntax ist wirklich einfach:

movefile

Wenn Sie eine Datei löschen möchten, können Sie ein leeres Ziel verwenden, indem Sie Anführungszeichen verwenden. Wie Sie im folgenden Screenshot sehen können, haben wir mit dem Befehl Movefile eine Kopie des Prozess-Explorers geplant, die in das Windows-Verzeichnis verschoben werden soll, um zu veranschaulichen, wie es funktioniert alles.

Junction Erstellt symbolische Links

Windows unterstützt symbolische Links für Dateien und Ordner, sodass Sie mehr als einen Pfad auf dieselbe Datei verweisen können, um Speicherplatz zu sparen, anstatt mehrere Kopien einer Datei zu haben. Die Idee ähnelt Verknüpfungen, außer dass dies auf Dateisystemebene erfolgt und in NTFS integriert ist.

Mit dem Junction-Dienstprogramm können Sie diese Links einfach erstellen und löschen. Sie können sie auch mit löschen

Junction

Die Realität ist jedoch, dass Windows seit Vista die Möglichkeit hat, Symlinks mit dem Befehl mklink zu erstellen, und Sie können diesen auch verwenden.

FindLinks Findet harte Links zu Dateien

Dieses kleine Dienstprogramm findet alle festen Links, die auf eine Datei verweisen. Hardlinks unterscheiden sich von symbolischen Links darin, dass durch das Löschen eines Hardlinks die Datei nicht gelöscht wird, wenn mehr Hardlinks zu dieser Datei vorhanden sind. Es scheint nur, sie zu löschen, bis Sie alle Hardlinks gelöscht haben. Sobald Sie den endgültigen Hardlink löschen, wird die Datei gelöscht.

: Dies könnte tatsächlich eine interessante Möglichkeit sein, um sicherzustellen, dass eine bestimmte Datei nicht wirklich von jemandem gelöscht wird, der die Gewohnheit hat, Dateien zu löschen. Erstellen Sie einfach einen festen Link zu allen Dateien, die nicht verloren gehen sollen.

In jedem Fall können Sie diesen Befehl leicht genug verwenden:

findlinks

Das einzige Problem ist, dass Windows 7 und 8 über einen integrierten Befehl verfügen, der dasselbe tut. Verwenden Sie stattdessen dieses:

fsutil Hardlink-Liste

Es ist immer besser zu lernen, wenn möglich, mit den integrierten Funktionen umzugehen, da Sie nie wissen, wann Sie etwas auf dem Computer eines anderen Benutzers ausführen müssen, wenn Sie nicht über Ihr Toolkit verfügen.

DiskView Zeigt die Festplattenstruktur an

Mit diesem Dienstprogramm können Sie die Struktur Ihrer Festplatte detailliert anzeigen und sogar ganz hineinzoomen und eine Datei auswählen, die in der Liste hervorgehoben werden soll, damit Sie sehen können, wo sich eine bestimmte Datei auf der Festplatte befindet und auch Überprüfen Sie, ob es fragmentiert ist oder nicht. Es ist für die meisten Menschen nicht besonders nützlich, aber hoffentlich haben Sie ein Szenario, in dem Sie es möglicherweise verwenden müssen.

Disk2vhd verwandelt PCs in virtuelle Festplatten

Dieses Dienstprogramm erstellt während der Ausführung einen Klon der Festplatte Ihres Computers und bündelt alles in einer virtuellen Festplattendatei, die in einer virtuellen Maschine verwendet werden kann. Und das bei laufendem PC.

Richtig, Sie können eine virtuelle Maschine Ihrer Festplatte erstellen, während Ihr Computer ausgeführt wird. Dies kann auch sehr hilfreich sein für Szenarien, in denen Sie eine forensische Analyse einer Maschine durchführen möchten, jedoch auf Ihrem eigenen Computer. Sie können einfach einen Klon erstellen und ihn stattdessen als virtuelle Maschine starten.

Die Option für Vhdx weist Disk2vhd an, das neuere VHDX-Dateiformat anstelle des VHD-Dateiformats zu verwenden, das eine Reihe von Einschränkungen aufwies. Standardmäßig erstellt Disk2vhd separate Dateien für jedes physische Laufwerk, fügt jedoch Partitionen in dieselbe Datei ein. Wenn Sie diese VHD-Datei einfach an eine andere virtuelle Maschine anhängen oder sie einfach auf einem normalen Windows-Computer bereitstellen möchten, können Sie Partitionen deaktivieren, die Sie in der Liste nicht benötigen. Wenn Sie vorhaben, eine virtuelle Maschine daraus zu machen, sollten Sie wahrscheinlich alles aktiviert lassen.

Die VHD-Ausgabedatei kann tatsächlich auf demselben Laufwerk abgelegt werden, von dem Sie eine Kopie erstellen. Wir empfehlen jedoch, wenn möglich ein zweites Laufwerk zu verwenden, um die Geschwindigkeit zu erhöhen.

PageDefrag ist veraltet

Mit diesem Dienstprogramm konnten Sie Systemdateien während des Startvorgangs defragmentieren. Da dies jedoch in neueren Windows-Versionen nicht funktioniert, sollten Sie es überspringen.

Sync schreibt zwischengespeicherte Daten auf Ihre Festplatte

Dieses Dienstprogramm synchronisiert einfach alle zwischengespeicherten Daten auf die Festplatte, um sicherzustellen, dass alle Dateiänderungen auf das Laufwerk geschrieben und nicht irgendwo in einem Puffer gespeichert werden. Natürlich sollten Sie die Option Sicher entfernen jedes Mal verwenden, wenn Sie sicher sein möchten, dass beim Ziehen eines Flash-Laufwerks keine Daten verloren gehen.

Der Festplattenmonitor zeigt Ihnen die Festplattenaktivität in Echtzeit an

Dieses Dienstprogramm zeigt die tatsächliche Festplattenaktivität in Echtzeit an – Sektoren, Lesevorgänge, Schreibvorgänge, die Länge der Daten, alles ist vorhanden. Das einzige Problem ist, dass es für die meisten Menschen nicht besonders nützlich ist.

Was vielleicht etwas nützlicher ist, ist die Festplattenüberwachung „Tray Disk Light“, die Sie im Menü Optionen auswählen können. Sobald Sie diesen Modus aktiviert haben, wird er in die Taskleiste verschoben und blinkt rot für Schreibvorgänge, grün für Lesevorgänge oder bleibt grau, wenn nichts passiert.

Wenn nur das Symbol etwas besser zu Windows 8 passt.

VolumeID Ändert die Seriennummer des Laufwerks

Haben Sie jemals bemerkt, dass jedes Laufwerk eine Seriennummer hat, die wie 064B-1E81 aussieht, oder etwas ähnlich Uninteressantes? Wenn Sie diese Seriennummer ändern möchten, um mehr Spaß zu haben, können Sie dies mit dem Dienstprogramm VolumeID mit folgender Syntax tun:

Volumeid XXXX-XXXX

Bitte beachten Sie, dass für die Syntax die Verwendung von Hexadezimalzeichen erforderlich ist, sodass Sie GEEK-1337 nicht wie bisher eingeben können, da dies einfach nicht funktioniert.

Nächste Lektion

Morgen werden wir die Serie mit einem Blick auf einige der kleinen Dienstprogramme abschließen, die wir verpasst haben, sowie einige Anleitungen zur gemeinsamen Verwendung aller Werkzeuge und wann Sie jedes Werkzeug herausziehen sollten.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia