TRƯỜNG HƯỚNG DẪN
- Công cụ SysInternals là gì và bạn sử dụng chúng như thế nào?
- Tìm hiểu về Process Explorer
- Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
- Hiểu quy trình giám sát
- Sử dụng Process Monitor để khắc phục sự cố và tìm Registry Hacks
- Sử dụng Autoruns để xử lý các quá trình khởi động và phần mềm độc hại
- Sử dụng BgInfo để hiển thị thông tin hệ thống trên màn hình nền
- Sử dụng PsTools để điều khiển các PC khác từ dòng lệnh
- Phân tích và quản lý tệp, thư mục và ổ đĩa của bạn
- Kết hợp và sử dụng các công cụ cùng nhau
Có khá nhiều tiện ích trong bộ công cụ xử lý tất cả những thứ có liên quan đến tệp hoặc thư mục hoặc tìm dữ liệu mà bạn không biết ở đó và có một số ít ở khía cạnh ngớ ngẩn. Dù bằng cách nào, chúng tôi sẽ bao gồm tất cả.
Các công cụ liên quan đến tập tin quan trọng nhất trong bộ công cụ để tìm hiểu có lẽ là các tiện ích của Sigcheck và Streams, nhưng nó sẽ là khôn ngoan để đọc qua tất cả chúng một cách cẩn thận.
Luồng tìm và hiển thị luồng NTFS ẩn
Hầu hết mọi người không biết về tính năng này, nhưng Windows sẽ cho phép bạn lưu trữ dữ liệu bên trong một ngăn ẩn trong hệ thống tệp được gọi là luồng dữ liệu thay thế. Điều này về cơ bản hoạt động bằng cách nối thêm dấu hai chấm và một khóa duy nhất vào cuối tên tệp khi tương tác với nó.
Ví dụ, nếu bạn muốn ẩn một số dữ liệu trong một tập tin, bạn có thể làm một cái gì đó nhưecho Secret> filename.txt: ẩnvà ngay cả khi bạn mở tệp văn bản đó trong Notepad, bạn sẽ không thấy văn bản "Bí mật" mà bạn đã thêm vào, và sẽ không có cách nào khác để biết rằng nó còn ở đó nữa. Trong thực tế, bạn có thể làm gần như bất cứ điều gì bạn muốn sử dụng kỹ thuật này. (Hãy chắc chắn để đọc bài viết của chúng tôi về chủ đề cho lời giải thích đầy đủ).
Đây cũng là kỹ thuật cho phép Windows biết một cách kỳ diệu rằng các tệp đã được tải xuống từ internet, bằng cách ẩn dữ liệu bên trong trường Zone.Identifier. Trên thực tế, bạn có thể xóa luồng dữ liệu thay thế này bằng tiện ích Luồng.
Cú pháp rất đơn giản - để xem các luồng, hãy nhập như sau tại dấu nhắc:
streams
Bạn cũng có thể sử dụng "suối *.exe" hoặc một cái gì đó như thế để xem tất cả các tệp có dữ liệu luồng ẩn, nếu có. Cách nhanh nhất để xem thứ gì đó là đi vào thư mục tải xuống của bạn và chạy nó ở đó.
streams -d
Bạn cũng có thể sử dụng tùy chọn -s để đi vào các thư mục con một cách đệ quy.
SigCheck phân tích các tệp không được ký kỹ thuật số (như phần mềm độc hại)
Tiện ích rất hữu ích này phân tích chữ ký số của các tệp trên hệ thống của bạn và cho bạn biết liệu chúng có hợp lệ hay thiếu chứng chỉ hay không. Bạn cũng có thể sử dụng nó để kiểm tra các tệp chống lại VirusTotal từ dòng lệnh, điều này thuận tiện, vì đó là điểm thực của công cụ này, là tìm phần mềm độc hại.
Cú pháp bình thường và hữu ích nhất là thêm công tắc -u, chỉ báo cáo các sự cố và nút -e, chỉ kiểm tra các tệp thực thi. Vì vậy, bạn có thể chạy một cái gì đó như thế này để kiểm tra thư mục system32 của bạn và chắc chắn rằng tất cả các tập tin có chữ ký điện tử. Bất cứ điều gì khác cần được kiểm tra rất chặt chẽ.
sigcheck -e -u C:WindowsSystem32
Bạn cũng có thể sử dụng tùy chọn -v cho một kiểm tra bổ sung chống lại VirusTotal, nhưng bạn sẽ cần phải sử dụng tùy chọn -vt lần đầu tiên để chấp nhận các điều khoản và điều kiện của chúng.
sigcheck -v -vt
SDelete xóa an toàn tập tin
Nếu bạn là loại hoang tưởng, bạn sẽ rất vui khi biết rằng bạn có thể xóa sạch tệp một cách an toàn khỏi dòng lệnh bất cứ lúc nào bạn muốn. Chỉ cần sử dụng tiện ích sdelete để whack các tập tin với các giao thức xóa DoD tuân thủ. (Tất nhiên NSA có lẽ vẫn có một bản sao của tập tin của bạn). Cú pháp rất đơn giản:
sdelete
Bạn cũng có thể dọn dẹp không gian trống trên ổ đĩa bằng cách sử dụngsdelete -ctùy chọn, sẽ mất nhiều thời gian hơn, nhưng là một lựa chọn tốt nếu bạn quên sử dụng sdelete để xóa tệp ở địa điểm đầu tiên.
Contig Defragments Một hoặc nhiều tập tin cá nhân
Nếu bạn muốn chống phân mảnh chỉ một tệp duy nhất hoặc danh sách tệp, bạn có thể sử dụng tiện ích Contig để thực hiện điều đó. Chắc chắn, bạn không thực sự cần phải chống phân mảnh các tệp trong các phiên bản Windows hiện đại tự động thực hiện. Và yeah, nếu bạn đang sử dụng một ổ đĩa trạng thái rắn, bạn không bao giờ nên chống phân mảnh cũng không làm bạn cần. Nhưng nếu bạn hoàn toàn, tích cực, phải chống phân mảnh một tập tin, đây là tiện ích để làm điều đó. Cú pháp rất đơn giản:
contig
Nếu bạn muốn phân tích sự phân mảnh của một tập tin mà không thực sự làm bất cứ điều gì, bạn có thể sử dụng công tắc -a như hình dưới đây:
du Hiển thị cách sử dụng đĩa
Bạn luôn có thể nhấp chuột phải vào bất kỳ tệp hoặc thư mục nào trong Windows Explorer và chọn Thuộc tính hoặc sử dụng phím tắt ALT + ENTER để xem kích thước của tệp hoặc thư mục.Nhưng nếu bạn muốn xem dữ liệu đó từ dấu nhắc lệnh thì sao? Đó là nơi tiện ích đi vào và nó cũng chính xác hơn một chút vì nó không tính các tệp được liên kết tượng trưng và cũng kiểm tra luồng dữ liệu thay thế.
PendMoves Hiển thị các tập tin di chuyển trên khởi động lại tiếp theo
Bạn đã bao giờ tự hỏi tại sao cài đặt ứng dụng lại khiến bạn khởi động lại máy tính của mình chưa? Câu trả lời thường là họ muốn di chuyển một số tệp xung quanh mà không thể di chuyển được trong khi Windows đang chạy, vì vậy, họ sử dụng tính năng Windows tích hợp để xử lý việc di chuyển hoặc xóa tệp khi khởi động lại.
Điều duy nhất bạn cần làm là chạy lệnh, và nó sẽ xuất dữ liệu. Tại sao bản sao của Process Explorer được lên lịch để chuyển vào thư mục Windows trong lần khởi động tiếp theo? Đọc tiếp.
MoveFiles Di chuyển các tệp hệ thống khi bạn khởi động lại
Tiện ích này sử dụng tính năng Windows tích hợp để lên lịch di chuyển, xóa hoặc đổi tên tệp hoặc thư mục để nó sẽ xảy ra trong chu kỳ khởi động lại tiếp theo, trước khi Windows được nạp đầy đủ. Cú pháp thực sự đơn giản:
movefile
Nếu bạn muốn xóa tệp, bạn có thể sử dụng đích rỗng bằng cách sử dụng dấu ngoặc kép, nhưdi chuyển tập tin Như bạn có thể thấy trong hình bên dưới, chúng tôi đã sử dụng lệnh Movefile để lên lịch cho một bản sao của trình thám hiểm quy trình được chuyển vào thư mục Windows để minh họa cách nó hoạt động.
Junction tạo liên kết tượng trưng
Windows hỗ trợ các liên kết tượng trưng cho các tệp và thư mục, do đó bạn có thể có nhiều hơn một điểm đường dẫn tới cùng một tệp để tiết kiệm không gian thay vì có nhiều bản sao của một tệp. Ý tưởng này tương tự như các phím tắt, ngoại trừ điều này là ở cấp độ hệ thống tập tin và được xây dựng thành NTFS.
Tiện ích Junction cho phép bạn tạo và xóa các liên kết này một cách dễ dàng. Bạn cũng có thể xóa chúng bằng cách sử dụngđường giao nhau -d
junction
Tuy nhiên, thực tế là Windows kể từ khi Vista có khả năng tạo các liên kết tượng trưng bằng lệnh mklink, và bạn cũng có thể sử dụng nó để thay thế.
FindLinks Tìm liên kết cứng đến tệp
Tiện ích nhỏ này tìm thấy tất cả các liên kết cứng trỏ tới một tệp. Liên kết cứng khác với liên kết tượng trưng trong việc xóa một liên kết cứng không thực sự xóa tệp nếu có nhiều liên kết cứng hơn đến tệp đó, nó dường như xóa nó cho đến khi bạn xóa tất cả các liên kết cứng. Khi bạn xóa liên kết cứng cuối cùng, tệp sẽ bị xóa.
chú thích: đây thực sự có thể là một cách thú vị để đảm bảo rằng một tệp cụ thể không thực sự bị xóa bởi ai đó có thói quen xóa tệp. Chỉ cần tạo liên kết cứng tới tất cả các tệp mà bạn không muốn chúng bị mất.
Trong mọi trường hợp, bạn có thể sử dụng lệnh này một cách dễ dàng đủ:
findlinks
Vấn đề duy nhất là Windows 7 và 8 có một lệnh tích hợp làm điều tương tự. Sử dụng cái này thay vào đó:
fsutil hardlink list
Chú thích:Bạn nên học cách sử dụng các công cụ tích hợp khi có thể, bởi vì bạn không bao giờ biết khi nào bạn sẽ cần làm điều gì đó trên máy tính của người khác khi bạn không có bộ công cụ của mình.
DiskView hiển thị cấu trúc đĩa
Tiện ích này cho phép bạn xem cấu trúc ổ cứng của bạn một cách chi tiết và thậm chí bạn có thể phóng to tất cả các cách và chọn tệp để làm nổi bật trong danh sách, vì vậy bạn có thể xem vị trí của một tệp cụ thể trên ổ đĩa và xem liệu nó có bị phân mảnh hay không. Nó không hữu ích cho hầu hết mọi người, nhưng hy vọng bạn có một kịch bản mà bạn có thể cần phải sử dụng nó.
Disk2vhd biến PC thành ổ cứng ảo
Tiện ích này tạo ra một bản sao của ổ cứng máy tính của bạn trong khi nó đang chạy, và gói nó tất cả thành một tập tin ổ cứng ảo có thể được sử dụng trong một máy ảo. Và nó thực hiện điều này trong khi PC đang chạy.
Đúng vậy, bạn có thể tạo một máy ảo của ổ cứng trong khi máy tính của bạn đang chạy. Điều này cũng có thể thực sự hữu ích cho các kịch bản mà bạn muốn làm một số phân tích pháp y của máy nhưng trên máy tính của riêng bạn - bạn có thể tạo một bản sao và sau đó khởi động nó như một máy ảo thay thế.
Tùy chọn cho Vhdx cho Disk2vhd sử dụng định dạng tệp VHDX mới thay vì định dạng tệp VHD, có một số hạn chế. Theo mặc định, Disk2vhd sẽ tạo các tệp riêng biệt cho mỗi ổ đĩa vật lý, nhưng đặt các phân vùng vào cùng một tệp. Nếu bạn chỉ định đính kèm tệp VHD này vào một máy ảo khác hoặc thậm chí chỉ cần gắn nó vào máy tính Windows thông thường, bạn có thể bỏ chọn các phân vùng mà bạn không cần trong danh sách. Nếu bạn có kế hoạch để làm cho một máy ảo ra khỏi nó, bạn có lẽ nên để lại tất cả mọi thứ kiểm tra.
PageDefrag đã lỗi thời
Tiện ích này cho phép bạn chống phân mảnh các tệp hệ thống trong khi khởi động, nhưng vì nó không hoạt động trên các phiên bản Windows gần đây, bạn nên bỏ qua nó.
Đồng bộ hóa ghi dữ liệu đã lưu vào đĩa của bạn
Tiện ích này chỉ đơn giản là đồng bộ tất cả các dữ liệu được lưu vào ổ đĩa để đảm bảo tất cả các thay đổi tập tin được ghi vào ổ đĩa và không được lưu trữ trong một số bộ đệm ở đâu đó. Tất nhiên, bạn nên sử dụng tùy chọn Xóa an toàn mỗi lần nếu bạn muốn chắc chắn bạn sẽ không mất dữ liệu khi kéo ổ đĩa flash.
Disk Monitor hiển thị cho bạn hoạt động ổ cứng thời gian thực
Tiện ích này cho thấy hoạt động ổ đĩa cứng thực tế xảy ra trong thời gian thực - các ngành, đọc, viết, độ dài của dữ liệu, tất cả đều ở đó.Vấn đề duy nhất là nó không hữu ích cho hầu hết mọi người.
VolumeID thay đổi số sê-ri của Drive
Bạn đã bao giờ nhận thấy làm thế nào mỗi ổ đĩa có một số serial trông giống như 064B-1E81 hoặc một cái gì đó không kém phần thú vị? Nếu bạn muốn thay đổi số sê-ri đó thành một cái gì đó thú vị hơn, bạn có thể làm điều đó bằng cách sử dụng tiện ích VolumeID với cú pháp này:
volumeid XXXX-XXXX
Xin lưu ý rằng cú pháp yêu cầu sử dụng ký tự thập lục phân, vì vậy bạn không thể nhập GEEK-1337 như chúng tôi đã làm, vì nó sẽ không hoạt động.
Bài học tiếp theo
Ngày mai chúng ta sẽ kết thúc loạt bài với một số tiện ích nhỏ mà chúng ta đã bỏ lỡ, cũng như một số hướng dẫn về cách sử dụng tất cả các công cụ với nhau, và khi nào bạn nên rút ra từng công cụ.