MOKYMO NAVIGACIJA
- Kokie yra "SysInternals" įrankiai ir kaip juos naudoti?
- "Process Explorer" supratimas
- "Procesoriaus" naršyklės naudojimas siekiant trikčių šalinimo ir diagnozės
- Suprasti proceso monitorių
- "Process Monitor" naudojimas, siekiant ištaisyti ir rasti registro hacks
- Autoruns naudojimas dirbant su paleisties procesais ir kenkėjiškomis programomis
- Naudojant BgInfo rodyti sistemos informaciją darbalaukyje
- Naudojant "PsTools" valdyti kitus kompiuterius iš komandinės eilutės
- Failų, aplankų ir diskų analizė ir valdymas
- Įpakavimas ir įrankių naudojimas kartu
Įrankių komplekse yra daugybė priemonių, kurios susijusios su įvairiais dalykais, susijusiais su failais ar aplankais, arba ieškant duomenų, kurių jūs nežinote, ir ten yra keletas dalykų, kurie yra šiek tiek kvaili. Bet kuriuo atveju mes juos visus padengsime.
Svarbiausi su rinkiniu susiję rinkmenos įrankiai, norėdami sužinoti, greičiausiai yra "Sigcheck" ir "Streams" komunalinės paslaugos, bet būtų protinga juos atidžiai perskaityti.
Srautai aptinka ir rodo slaptus NTFS srautus
Dauguma žmonių apie šią funkciją nežino, bet "Windows" leis jums saugoti duomenis failų sistemos paslėptame skyriuje, vadinamą alternatyviais duomenų srautais. Tai iš esmės veikia pridedant dvitaškį ir unikalų raktą į failo pavadinimo pabaigą bendraujant su juo.
Pavyzdžiui, jei norėjote paslėpti kai kuriuos duomenis failo, galite padaryti kažką panašausecho Secret> filename.txt: hiddenstuffir net jei atidarėte tą tekstinį failą "Notepad", nematysite "paslėpto" teksto, kurį pridėjote, ir nebūtų jokio kito būdo žinoti, kad jis buvo netgi ten. Iš tiesų, jūs galite daryti beveik viską, ko norite, naudodami šią techniką. (Visiškai aišku perskaitykite mūsų straipsnį apie temą).
Tai taip pat yra technologija, leidžianti Windows stebuklingai žinoti, kad failai buvo atsiųsti iš interneto, paslėpti duomenis zonoje Zone.Identifier. Iš tikrųjų galite ištrinti šį alternatyvų duomenų srautą naudodami "Streams" įrankį.
Sintaksė yra paprasta - norėdami pamatyti srautus, užrašykite šią eilutę:
streams
Taip pat galite naudoti "srautus *.exe" arba kažką panašaus, kad pamatytumėte visus failus su paslėptais srauto duomenimis, jei jie yra. Greičiausias būdas ką nors pamatyti yra nukreipti į atsisiuntimų katalogą ir paleisti jį ten.
Jei norite ištrinti vieną iš srautų arba daugelio iš jų, galite naudoti -d parinktį:
streams -d
Taip pat galite naudoti -s variantą pereiti į pakatalogius rekursiškai.
SigCheck analizuoja failus, kurie nėra skaitmeniniu būdu pasirašyti (kaip kenkėjiška programa)
Tai labai naudinga programa analizuoja jūsų sistemoje esančių failų skaitmeninius parašus ir nurodo, ar jie yra tinkami, ar trūksta sertifikato. Taip pat galite naudoti ją patikrinti failus iš "VirusTotal" iš komandinės eilutės, kuri yra patogi, nes tai yra realus šio įrankio taškas - tai rasti kenkėjišką programą.
Įprasta ir naudingiausia sintaksė yra pridėti -u jungiklį, kuris nurodo tik problemas, ir -e jungiklį, kuris tikrina tik vykdomąjį failą. Taigi, galite paleisti kažką panašaus, patikrinti savo sistemos32 katalogą ir įsitikinkite, kad visi failai yra pasirašyti skaitmeniniu būdu. Ką dar reikėtų labai atidžiai išnagrinėti.
sigcheck -e -u C:WindowsSystem32
Taip pat galite naudoti -v papildomą patikrinimą prieš "VirusTotal", tačiau pirmą kartą turėsite naudoti -v pasirinktį, kad sutinkate su jų sąlygomis.
sigcheck -v -vt
SDelete saugiai ištrina failus
Jei esate paranojiškas tipas, jums bus malonu žinoti, kad bet kuriuo metu galite saugiai išvalyti failus iš komandinės eilutės. Tiesiog naudokite "sdelete" programinę įrangą, kad įstrigtumėte failą su "DoD" suderinamais ištrynimo protokolais. (Žinoma, NSA tikriausiai vis dar turi savo failo kopiją). Sintaksė yra paprasta:
sdelete
Taip pat galite išvalyti laisvos vietos diske, naudodami mygtukąsdelete-cparinktis, kuri užtruks ilgiau, bet yra geras pasirinkimas, jei pamiršote naudoti sdelete, kad iš pradžių pašalintumėte failą.
Contig defragmentuoja vieną arba daug atskirų failų
Jei norite defragmentuoti tik vieną failą arba failų sąrašą, galite naudoti "Contig" įrankį, kad tai padarytumėte. Žinoma, jums nereikia defragmentuoti failų šiuolaikinėse "Windows" versijose, kurios tai daro automatiškai. Ir taip, jei naudojate kietijį diską, niekada neturėtumėte defragmentuoti ir nereikia. Bet jei jūs absoliučiai, teigiamai, turi defragmentuoti vieną failą, tai yra įrankis tai padaryti. Sintaksė yra paprasta:
contig
Jei norite analizuoti failo suskaidymą, nieko nedarant, galite naudoti -a jungiklį, kaip parodyta žemiau:
du parodo disko naudojimą
Jūs visada galite tiesiog dešiniuoju pelės mygtuku spustelėkite bet kurį failą ar aplanką "Windows Explorer" ir pasirinkite "Properties" arba naudokite sparčiuoju klavišu ALT + ENTER, kad pamatytumėte failo ar aplanko dydį.Bet ką daryti, jei norite pamatyti šiuos duomenis iš komandų eilutės? Štai kur du naudingumas ateina ir jis taip pat yra šiek tiek tikslesnis, nes jis neskaito simboliškai susietų failų, taip pat tikrina alternatyvius duomenų srautus.
PendMoves Rodo failus, perkeliant kitą kartą perkraukite
Ar kada nors susimąstėte, kodėl programa įdiegia, perkraukite kompiuterį? Paprastai atsakymas yra tai, kad jie nori perkelti tam tikrus failus, kurių negalima perkelti paleidus "Windows", taigi jie naudoja įmontuotą "Windows" funkciją, kuri tvarko perkėlimą arba perkėlimą iš failų.
Vienintelis dalykas, kurį jums reikia padaryti, yra paleisti komandą, ir ji išves duomenis. Kodėl "Process Explorer" kopija planuojama perkelti į aplanką "Windows" kitą kartą perkrauti? Skaityk.
"MoveFiles" perkels sistemos failus, kai iš naujo paleisite
Ši programa naudoja įmontuotą "Windows" funkciją, kad planuotumėte failo ar katalogo perkėlimą, ištrynimą ar pervardymą, kad jis įvyks kito paleidimo ciklo metu, kol "Windows" bus visiškai įkeltas. Sintaksė yra tikrai paprasta:
movefile
Jei norite ištrinti failą, galite naudoti tuščią paskirties vietą naudojant citatus, pvz.,perkelti failą Kaip matote paveikslėlyje esančiame paveikslėlyje, mes panaudojome komandą "Movefile", kad planuotumėte "Process Explorer" kopiją, kad būtų perkeltos į "Windows" katalogą, kad pademonstruotumėte, kaip tai veikia.
Junction sukuria simbolines nuorodas
"Windows" palaiko simbolines nuorodas, skirtas failams ir aplankams, kad galėtumėte turėti kelis kelius, nurodydami tą patį failą, kad išsaugotumėte vietos, o ne turėtumėte keletą failo kopijų. Idėja yra panaši į sparčiuosius klavišus, išskyrus tai, kas yra failų sistemos lygyje ir įmontuota į NTFS.
"Junction" įrankis leidžia lengvai kurti ir ištrinti šias nuorodas. Galite juos ištrinti naudodamijungtis -d
junction
Tačiau realybė yra tai, kad "Windows", nes "Vista" turėjo galimybę sukurti simbolių nuorodas su komanda mklink, o jūs taip pat galite naudoti ją.
"FindLinks" nustato sunkias nuorodas į failus
Šis mažas įrankis suranda visus sunkius ryšius, nukreipiančius į failą. Kietieji saitai skiriasi nuo simbolinių nuorodų, taigi išbraukiant vieną kietąjį ryšį failas iš tikrųjų neištrinama, jei yra daugiau kietųjų nuorodų į tą failą, jis tik atrodo ištrinamas, kol neištrinsite visų sunkių nuorodų. Ištrynę paskutinę kietąją nuorodą, failas bus ištrintas.
Pastaba: tai iš tiesų gali būti įdomus būdas įsitikinti, kad asmuo, turintis įprotį ištrinti failus, tikrai neištrina tam tikros bylos. Tiesiog sukurkite kietą nuorodą į visus failus, kurių nenorite prarasti.
Bet kokiu atveju galite lengvai naudoti šią komandą:
findlinks
Vienintelė problema yra ta, kad "Windows 7" ir "8" turi įmontuotą komandą, kuri daro tą patį. Vietoj to naudokite šį:
fsutil hardlink list
Pastaba:Jei įmanoma, visada geriau mokytis naudotis integruotomis medžiagomis, nes niekada nežinote, kada turėsite ką nors padaryti kieno nors kito kompiuterio, kai neturite savo įrankių rinkinio.
DiskView parodo disko struktūrą
Šis įrankis leidžia išsamiai pamatyti kietojo disko struktūrą, todėl galite net padidinti visą kelią ir pasirinkti failą, kurį norite pažymėti sąraše, kad galėtumėte pamatyti, kur tam tikras failas yra diske, taip pat ar jis suskaidytas, ar ne. Daugeliui žmonių tai nėra labai naudinga, tačiau, tikiuosi, jūs turėsite scenarijų, kuriame gali tekti jį naudoti.
Disk2vhd Įjungia kompiuterius į virtualius standžiuosius įrenginius
Šis įrankis sukuria kietojo disko kloną, kol jis veikia, ir susiejamas su visa tai į virtualaus standžiojo disko failą, kurį galima naudoti virtualioje mašinoje. Ir tai daro, kai veikia kompiuteris.
Tiesa, jūs galite sukurti kietojo disko virtualią mašiną, kol jūsų kompiuteris veikia. Tai taip pat gali būti naudinga scenarijams, kuriuose norite atlikti kokią nors kriminalinę kompiuterio analizę, bet savo kompiuteryje - galite tik sukurti kloną ir paleisti jį kaip virtualųjį įrenginį.
Vhdx parinktis nurodo "Disk2vhd" naudoti naujesnį VHDX failo formatą, o ne VHD failo formatą, kuris turėjo keletą apribojimų. Pagal nutylėjimą "Disk2vhd" ketina kurti atskirus failus kiekvienam fiziniam įrenginiui, bet įdėkite skaidinius į tą patį failą. Jei tiesiog planuojate pridėti šį VHD failą į kitą virtualią mašiną arba tiesiog jį prijunkite prie įprasto "Windows" kompiuterio, galite panaikinti sąrašus, kurių jums nereikia. Jei planuojate iš virtualios mašinos išjungti, turėtumėte tikriausiai palikti viską patikrintą.
PageDefrag yra pasenęs
Šis įrankis leido jums defragmentuoti sistemos failus įkrovos metu, bet kadangi jis neveikia naujausiose "Windows" versijose, turite jį praleisti.
Sinchronizavimas įrašo talpykloje esančius duomenis į jūsų diską
Ši programa paprasčiausiai sinchronizuoja visus iš talpyklos duomenis į diską, kad įsitikintumėte, ar visi failų pakeitimai yra įrašomi į diską, o ne saugomi kur nors buferyje. Žinoma, kiekvieną kartą turėtumėte naudoti "Saugaus pašalinimo" parinktį, jei norite būti tikri, kad vilkdami "flash" diską nepraraskite duomenų.
Disko monitorius rodo realaus laiko disko aktyvumą
Šis įrankis rodo faktinį realaus laiko įvykį kietajame diske - sektorius, skaito, rašo, duomenų ilgis, visa tai ten.Vienintelė problema yra tai, kad daugumai žmonių tai nėra labai naudinga.
"VolumeID" pakeičia "Drive" serijos numerį
Ar jūs kada nors pastebėjote, kaip kiekvienas diskas turi serijos numerį, kuris atrodo 064B-1E81 arba kažkas vienodai neįdomu? Jei norite pakeisti šį serijos numerį kažkuo smagiau, tai galite padaryti naudodami "VolumeID" įrankį naudodami šį sintaksę:
volumeid XXXX-XXXX
Atkreipkite dėmesį, kad sintaksė reikalauja naudoti šešioliktainius simbolius, todėl jūs negalite įvesti GEEK-1337, kaip mes padarėme, nes tai tiesiog neveiks.
Kitas pamoka
Rytoj mes sukursime seriją, pažvelgsime į kai kurias mažas komunalines paslaugas, kurias mes praleidome, taip pat apie kai kurių įrankių naudojimo kartu nurodymus ir kiekvieno įrankio ištraukimą.