Analysieren und Verwalten Ihrer Dateien, Ordner und Laufwerke

Analysieren und Verwalten Ihrer Dateien, Ordner und Laufwerke

Analyzing Managing Your Files

Wir sind fast fertig mit unserer Geek School-Serie zu SysInternals-Tools, und heute werden wir über alle Dienstprogramme sprechen, die Ihnen beim Umgang mit Dateien und Ordnern helfen – egal, ob Sie versteckte Daten finden oder eine Datei sicher löschen.



SCHULNAVIGATION
  1. Was sind die SysInternals-Tools und wie werden sie verwendet?
  2. Prozess-Explorer verstehen
  3. Verwenden des Process Explorers zur Fehlerbehebung und Diagnose
  4. Prozessmonitor verstehen
  5. Verwenden von Process Monitor zur Fehlerbehebung und zum Auffinden von Registry-Hacks
  6. Verwenden von Autoruns zum Umgang mit Startprozessen und Malware
  7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
  8. Verwenden von PsTools zum Steuern anderer PCs über die Befehlszeile
  9. Analysieren und Verwalten Ihrer Dateien, Ordner und Laufwerke
  10. Zusammenfassen und Verwenden der Tools

Es gibt einige Dienstprogramme im Toolkit, die sich mit allen möglichen Dingen befassen, die sich auf Dateien oder Ordner beziehen oder Daten finden, von denen Sie nicht wussten, dass sie vorhanden sind, und es gibt einige, die ein wenig albern sind. Wie auch immer, wir werden sie alle abdecken.

Die wichtigsten dateibezogenen Tools im Kit sind wahrscheinlich die Dienstprogramme Sigcheck und Streams, aber es wäre ratsam, sie alle sorgfältig durchzulesen.

Streams findet versteckte NTFS-Streams und zeigt sie an

Die meisten Leute kennen diese Funktion nicht, aber Windows lässt Sie So verstecken Sie Daten in einem geheimen Textdateifach

Wenn Sie beispielsweise einige Daten in einer Datei verbergen möchten, können Sie Folgendes tun: echo Secret > filename.txt:hiddenstuff und selbst wenn Sie diese Textdatei in Notepad öffnen, sehen Sie den hinzugefügten geheimen Text nicht, und es gibt keine andere Möglichkeit, zu wissen, dass er überhaupt vorhanden ist. Tatsächlich können Sie mit dieser Technik fast alles tun, was Sie möchten. (Stellen Sie sicher, dass Sie wissen, dass Dateien aus dem Internet heruntergeladen wurden, indem Sie Daten im Feld Zone.Identifier verstecken. Tatsächlich können Sie diesen alternativen Datenstrom mit dem Dienstprogramm Streams löschen.

Die Syntax ist einfach – um die Streams anzuzeigen, geben Sie Folgendes an der Eingabeaufforderung ein:

strömt

Anzeige

Sie können auch streams *.exe oder ähnliches verwenden, um alle Dateien mit versteckten Stream-Daten anzuzeigen, falls vorhanden. Der schnellste Weg, um etwas zu sehen, besteht darin, in Ihr Download-Verzeichnis zu gehen und es dort auszuführen.

Um einen oder mehrere Streams zu löschen, können Sie die Option -d verwenden:

Passwortschutz aus PDF entfernen

Ströme -d

Sie können auch die Option -s verwenden, um rekursiv in Unterverzeichnisse zu wechseln.

SigCheck analysiert Dateien, die nicht digital signiert sind (wie Malware)

Dieses sehr nützliche Dienstprogramm analysiert die digitalen Signaturen von Dateien auf Ihrem System und sagt Ihnen, ob sie gültig sind oder ein Zertifikat fehlt. Sie können es auch verwenden, um Dateien über die Befehlszeile gegen VirusTotal zu überprüfen, was praktisch ist, da das eigentliche Ziel dieses Tools darin besteht, Malware zu finden.

Die normale und nützlichste Syntax besteht darin, den Schalter -u hinzuzufügen, der nur Probleme meldet, und den Schalter -e, der nur ausführbare Dateien überprüft. Sie könnten also so etwas ausführen, um Ihr system32-Verzeichnis zu überprüfen und sicherzustellen, dass alle Dateien dort digital signiert sind. Alles andere sollte sehr genau untersucht werden.

sigcheck -e -u C:WindowsSystem32

Sie können auch die Option -v für eine zusätzliche Prüfung gegen VirusTotal verwenden, aber Sie müssen die Option -vt beim ersten Mal verwenden, um deren Geschäftsbedingungen zu akzeptieren.

sigcheck -v -vt

SDelete löscht Dateien sicher

Wenn Sie der paranoide Typ sind, werden Sie froh sein zu wissen, dass Sie Dateien jederzeit sicher von der Befehlszeile aus löschen können. Verwenden Sie einfach das Dienstprogramm sdelete, um die Datei mit DoD-kompatiblen Löschprotokollen zu zerstören. (Natürlich hat die NSA wahrscheinlich noch eine Kopie Ihrer Datei). Die Syntax ist einfach:

sdelete

Anzeige

Alternativ können Sie den freien Speicherplatz auf einem Laufwerk bereinigen, indem Sie das sdelete -c Option, die länger dauert, aber eine gute Option ist, wenn Sie vergessen haben, die Datei mit sdelete zu entfernen.

Contig defragmentiert eine oder mehrere einzelne Dateien

Wenn Sie nur eine einzelne Datei oder eine Liste von Dateien defragmentieren möchten, können Sie dazu das Dienstprogramm Contig verwenden. Sicher, Sie müssen Dateien in modernen Windows-Versionen, die dies automatisch tun, nicht wirklich defragmentieren. Und ja, wenn Sie ein Solid-State-Laufwerk verwenden, sollten Sie es niemals defragmentieren und müssen es auch nicht. Wenn Sie jedoch unbedingt eine einzelne Datei defragmentieren müssen, ist dies das Dienstprogramm dafür. Die Syntax ist einfach:

contig

Wenn Sie die Fragmentierung einer Datei analysieren möchten, ohne etwas zu tun, können Sie den Schalter -a wie unten gezeigt verwenden:

Es ist erwähnenswert, dass Sie, selbst wenn eine Datei fragmentiert ist, wenn die Datei sehr groß ist und nur in einige große Teile zerlegt ist, durch die Defragmentierung im Wesentlichen nichts gewinnen und mehr Zeit damit verschwenden müssen, sich damit zu beschäftigen, als Sie sparen würden.

du zeigt die Festplattennutzung an

Sie können jederzeit mit der rechten Maustaste auf eine Datei oder einen Ordner im Windows Explorer klicken und Eigenschaften wählen oder die Tastenkombination ALT + EINGABE verwenden, um die Größe einer Datei oder eines Ordners anzuzeigen. Aber was ist, wenn Sie diese Daten über die Eingabeaufforderung anzeigen möchten? Hier kommt das Dienstprogramm du ins Spiel, und es ist auch etwas genauer, da es keine symbolischen verknüpften Dateien zählt und auch alternative Datenströme überprüft.

Anzeige

Die Option -n überprüft nur einen einzelnen Ordner, ohne in Unterverzeichnisse rekursiv zu gehen, während die Option -v rekursiv ist und auch jedes Verzeichnis anzeigt, während es durch die Liste geht, und die Option -l (n) prüft nur n Ebenen tief. Wie in, -l 2 würde 2 Ebenen tief prüfen.

PendMoves zeigt Dateien an, die beim nächsten Neustart verschoben werden

Haben Sie sich jemals gefragt Warum Anwendungsinstallationen Sie dazu bringen, Ihren Computer neu zu starten ? Die Antwort ist normalerweise, dass sie einige Dateien verschieben möchten, die nicht verschoben werden können, während Windows ausgeführt wird. Daher verwenden sie eine integrierte Windows-Funktion, die das Verschieben oder Löschen von Dateien beim Neustart handhabt.

Sie müssen lediglich den Befehl ausführen und die Daten werden ausgegeben. Warum soll eine Kopie von Process Explorer beim nächsten Neustart in den Windows-Ordner verschoben werden? Weiter lesen.

MoveFiles verschiebt Systemdateien beim Neustart

Dieses Dienstprogramm verwendet die integrierte Windows-Funktion, um das Verschieben, Löschen oder Umbenennen einer Datei oder eines Verzeichnisses so zu planen, dass dies während des nächsten Neustartzyklus erfolgt, bevor Windows vollständig geladen ist. Die Syntax ist wirklich einfach:

Datei bewegen

Wenn Sie eine Datei löschen möchten, können Sie ein leeres Ziel verwenden, indem Sie Anführungszeichen verwenden, wie Datei bewegen . Wie Sie im Screenshot unten sehen können, haben wir den Befehl Movefile verwendet, um zu planen, dass eine Kopie des Prozess-Explorers in das Windows-Verzeichnis verschoben wird, um die Funktionsweise zu veranschaulichen.

Junction erstellt symbolische Links

VERBUNDEN: Die vollständige Anleitung zum Erstellen symbolischer Links (auch bekannt als Symlinks) unter Windows

Windows unterstützt symbolische Links für Dateien und Ordner, sodass Sie mehr als einen Pfad auf dieselbe Datei haben können, um Platz zu sparen, anstatt mehrere Kopien einer Datei zu haben. Die Idee ist ähnlich wie bei Verknüpfungen, außer dass dies auf Dateisystemebene erfolgt und in NTFS integriert ist.

Anzeige

Mit dem Dienstprogramm Junction können Sie diese Links einfach erstellen und löschen. Sie können sie auch löschen mit Kreuzung -d .

Kreuzung

Die Realität ist jedoch, dass Windows seit Vista hat die Möglichkeit, mit dem Befehl mklink symbolische Links zu erstellen , und Sie können stattdessen auch dieses verwenden.

FindLinks findet harte Links zu Dateien

Dieses kleine Dienstprogramm findet alle harten Links, die auf eine Datei verweisen. Hardlinks unterscheiden sich von symbolischen Links darin, dass das Löschen eines Hardlinks die Datei nicht wirklich löscht, wenn mehr Hardlinks zu dieser Datei vorhanden sind, sondern es scheint sie nur zu löschen, bis Sie alle Hardlinks gelöscht haben. Sobald Sie den letzten Hardlink löschen, wird die Datei gelöscht.

Notiz : Dies könnte tatsächlich ein interessanter Weg sein, um sicherzustellen, dass eine bestimmte Datei nicht wirklich von jemandem gelöscht wird, der die Angewohnheit hat, Dateien zu löschen. Erstellen Sie einfach einen festen Link zu allen Dateien, die Sie nicht verlieren möchten.

In jedem Fall können Sie diesen Befehl einfach genug verwenden:

findlinks

Das einzige Problem ist, dass Windows 7 und 8 einen integrierten Befehl haben, der dasselbe tut. Verwenden Sie stattdessen dieses:

fsutil-Hardlink-Liste

Anzeige

Notiz: Es ist immer besser, wenn möglich zu lernen, die integrierten Funktionen zu verwenden, da Sie nie wissen, wann Sie etwas auf dem Computer eines anderen tun müssen, wenn Sie Ihr Toolkit nicht haben.

DiskView zeigt die Festplattenstruktur an

Dieses Dienstprogramm ermöglicht es Ihnen, die Struktur Ihrer Festplatte im Detail zu sehen, und Sie können sogar ganz hineinzoomen und eine Datei auswählen, um sie in der Liste hervorzuheben, damit Sie sehen können, wo sich eine bestimmte Datei auf der Festplatte befindet, und auch sehen, ob es fragmentiert ist oder nicht. Es ist für die meisten Leute nicht besonders nützlich, aber hoffentlich haben Sie ein Szenario, in dem Sie es möglicherweise verwenden müssen.

Disk2vhd verwandelt PCs in virtuelle Festplatten

Dieses Dienstprogramm erstellt während des Betriebs einen Klon der Festplatte Ihres Computers und bündelt alles in einer virtuellen Festplattendatei, die in einer virtuellen Maschine verwendet werden kann. Und das bei laufendem PC.

Das ist richtig, Sie können eine virtuelle Maschine Ihrer Festplatte erstellen, während Ihr Computer läuft. Dies könnte auch für Szenarien sehr hilfreich sein, in denen Sie eine forensische Analyse einer Maschine durchführen möchten, jedoch auf Ihrem eigenen Computer – Sie könnten einfach einen Klon erstellen und ihn dann stattdessen als virtuelle Maschine booten.

Die Option für Vhdx weist Disk2vhd an, das neuere VHDX-Dateiformat anstelle des VHD-Dateiformats zu verwenden, das eine Reihe von Einschränkungen aufwies. Standardmäßig erstellt Disk2vhd separate Dateien für jedes physische Laufwerk, legt jedoch Partitionen in derselben Datei ab. Wenn Sie diese VHD-Datei einfach an eine andere virtuelle Maschine anhängen oder sie einfach auf einem normalen Windows-Computer mounten möchten, können Sie nicht benötigte Partitionen in der Liste deaktivieren. Wenn Sie planen, daraus eine virtuelle Maschine zu machen, sollten Sie wahrscheinlich alles aktiviert lassen.

Anzeige

Die VHD-Ausgabedatei kann tatsächlich auf demselben Laufwerk abgelegt werden, von dem Sie eine Kopie erstellen, aber wir empfehlen, wenn möglich, ein zweites Laufwerk zu verwenden, damit alles schneller geht.

Was ist Airplay im Fernsehen?

PageDefrag ist veraltet

Mit diesem Dienstprogramm konnten Sie Systemdateien während des Bootens defragmentieren, aber da es unter neueren Windows-Versionen nicht funktioniert, sollten Sie es überspringen.

Sync schreibt zwischengespeicherte Daten auf Ihre Festplatte

Dieses Dienstprogramm synchronisiert einfach alle zwischengespeicherten Daten auf die Festplatte, um sicherzustellen, dass alle Dateiänderungen auf das Laufwerk geschrieben und nicht irgendwo in einem Puffer gespeichert werden. Natürlich Du sollte die Option 'Sicher entfernen' verwenden jedes Mal, wenn Sie sicher sein möchten, dass Sie beim Ziehen eines Flash-Laufwerks keine Daten verlieren.

Disk Monitor zeigt Ihnen die Festplattenaktivität in Echtzeit an

Dieses Dienstprogramm zeigt die tatsächliche Festplattenaktivität in Echtzeit an – Sektoren, Lese- und Schreibvorgänge, die Länge der Daten, alles ist da. Das einzige Problem ist, dass es für die meisten Menschen nicht besonders nützlich ist.

Etwas nützlicher ist vielleicht die Festplattenüberwachung Tray Disk Light, die Sie aus dem Optionsmenü auswählen können. Sobald Sie diesen Modus aktivieren, wird er in die Taskleiste verschoben und blinkt rot für Schreibvorgänge, grün für Lesevorgänge oder bleibt grau, wenn nichts passiert.

Wenn nur das Symbol etwas besser zu Windows 8 passen würde.

VolumeID ändert die Seriennummer des Laufwerks

Ist Ihnen schon einmal aufgefallen, dass jedes Laufwerk eine Seriennummer hat, die wie 064B-1E81 oder ähnlich uninteressant aussieht? Wenn Sie diese Seriennummer in etwas Lustigeres ändern möchten, können Sie dies tun, indem Sie das VolumeID-Dienstprogramm mit dieser Syntax verwenden:

Volumen-ID XXXX-XXXX

Anzeige

Bitte beachten Sie, dass die Syntax die Verwendung von hexadezimalen Zeichen erfordert, sodass Sie GEEK-1337 nicht wie wir eingeben können, da dies einfach nicht funktioniert.

Nächste Lektion

Morgen werden wir die Serie mit einem Blick auf einige der kleinen Dienstprogramme abschließen, die wir verpasst haben, sowie eine Anleitung zur gemeinsamen Verwendung aller Tools und wann Sie jedes Tool herausziehen sollten.

WEITER LESEN
  • › Der Computerordner ist 40: Wie Xerox Star den Desktop erstellte
  • & rsaquo; Cyber ​​Monday 2021: Die besten Tech-Deals
  • › Funktionen vs. Formeln in Microsoft Excel: Was ist der Unterschied?
  • › Was ist MIL-SPEC Fallschutz?
  • › So finden Sie Ihr Spotify Wrapped 2021
  • › 5 Websites, die jeder Linux-Benutzer mit einem Lesezeichen versehen sollte
Profilfoto für Lowell Heddings Lowell Heddings
Lowell ist Gründer und CEO von How-To Geek. Er leitet die Show seit der Erstellung der Site im Jahr 2006. In den letzten zehn Jahren hat Lowell persönlich mehr als 1000 Artikel geschrieben, die von über 250 Millionen Menschen angesehen wurden. Bevor Lowell mit How-To Geek begann, arbeitete er 15 Jahre lang in der IT mit Beratungs-, Cybersicherheits-, Datenbankmanagement- und Programmierarbeiten.
Vollständige Biografie lesen