Analisando e gerenciando seus arquivos, pastas e unidades

Índice:

Analisando e gerenciando seus arquivos, pastas e unidades
Analisando e gerenciando seus arquivos, pastas e unidades

Vídeo: Analisando e gerenciando seus arquivos, pastas e unidades

Vídeo: Analisando e gerenciando seus arquivos, pastas e unidades
Vídeo: CONFIGURAÇÕES de BATE-PAPO no Facebook - YouTube 2024, Novembro
Anonim
Estamos quase terminando nossa série Geek School nas ferramentas da SysInternals, e hoje vamos falar sobre todos os utilitários que ajudam você a lidar com arquivos e pastas - seja para encontrar dados ocultos ou excluir um arquivo com segurança.
Estamos quase terminando nossa série Geek School nas ferramentas da SysInternals, e hoje vamos falar sobre todos os utilitários que ajudam você a lidar com arquivos e pastas - seja para encontrar dados ocultos ou excluir um arquivo com segurança.

NAVEGAÇÃO ESCOLAR

  1. Quais são as ferramentas SysInternals e como você as usa?
  2. Entendendo o Process Explorer
  3. Usando o Process Explorer para solucionar problemas e diagnosticar
  4. Entendendo o Process Monitor
  5. Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
  6. Usando o Autoruns para lidar com processos de inicialização e malware
  7. Usando o BgInfo para exibir informações do sistema na área de trabalho
  8. Usando o PsTools para controlar outros PCs a partir da linha de comando
  9. Analisando e gerenciando seus arquivos, pastas e unidades
  10. Encerrando e usando as ferramentas juntas

Existem alguns utilitários no kit de ferramentas que lidam com todos os tipos de coisas relacionadas a arquivos ou pastas ou que encontram dados que você não sabia que existiam, e há alguns que são um pouco bobos. De qualquer maneira, nós estaremos cobrindo todos eles.

As ferramentas mais importantes relacionadas a arquivos do kit para conhecer são provavelmente os utilitários Sigcheck e Streams, mas seria prudente lê-los cuidadosamente.

Fluxos Localiza e Exibe Fluxos NTFS Ocultos

A maioria das pessoas não sabe sobre esse recurso, mas o Windows permite que você armazene dados em um compartimento oculto no sistema de arquivos chamado fluxos de dados alternativos. Isso basicamente funciona adicionando dois pontos e uma chave exclusiva ao final de um nome de arquivo ao interagir com ele.

Por exemplo, se você quisesse esconder alguns dados em um arquivo, poderia fazer algo comoecho Secret> filename.txt: hiddenstuffe mesmo que você abrisse o arquivo de texto no bloco de notas, não veria o texto "secreto" adicionado e não haveria outra maneira de saber se ele estava lá. De fato, você pode fazer quase tudo que quiser usando essa técnica. (Não deixe de ler nosso artigo sobre o assunto para uma explicação completa).

Essa também é a técnica que permite ao Windows saber magicamente que os arquivos foram baixados da Internet, ocultando dados dentro do campo Zone.Identifier. Na verdade, você pode excluir esse fluxo de dados alternativo usando o utilitário Streams.

A sintaxe é simples - para ver os fluxos, digite o seguinte no prompt:

streams

Você também pode usar “streams *.exe” ou algo assim para ver todos os arquivos com dados de fluxo ocultos, se houver algum. A maneira mais rápida de ver alguma coisa é entrar em seu diretório de downloads e executá-lo lá.

Para excluir um dos fluxos ou muitos deles, você pode usar a opção -d:
Para excluir um dos fluxos ou muitos deles, você pode usar a opção -d:

streams -d

Você também pode usar a opção -s para entrar em subdiretórios recursivamente.

SigCheck analisa arquivos que não são assinados digitalmente (como malware)

Este utilitário muito útil analisa as assinaturas digitais de arquivos no seu sistema e informa se eles são válidos ou faltando um certificado. Você também pode usá-lo para verificar arquivos contra o VirusTotal na linha de comando, o que é conveniente, porque esse é o verdadeiro objetivo dessa ferramenta, é encontrar malware.

A sintaxe normal e mais útil é adicionar a opção -u, que apenas relata problemas, e a opção -e, que verifica apenas os arquivos executáveis. Portanto, você pode executar algo assim para verificar o diretório system32 e certificar-se de que todos os arquivos estejam assinados digitalmente. Qualquer outra coisa deve ser examinada de perto.

sigcheck -e -u C:WindowsSystem32

Você também pode usar a opção -v para uma verificação adicional contra o VirusTotal, mas será necessário usar a opção -vt na primeira vez para aceitar seus termos e condições.

sigcheck -v -vt

Image
Image

SDelete exclui arquivos com segurança

Se você é do tipo paranóico, ficará feliz em saber que pode limpar com segurança os arquivos da linha de comando quando quiser. Basta usar o utilitário sdelete para bater o arquivo com protocolos de exclusão compatíveis com DoD. (Claro que a NSA provavelmente ainda tem uma cópia do seu arquivo). A sintaxe é simples:

sdelete

Você pode alternativamente limpar o espaço livre em uma unidade usando osdelete -copção, que vai demorar mais tempo, mas é uma boa opção se você esqueceu de usar sdelete para remover o arquivo em primeiro lugar.

Image
Image

Contig desfragmenta um ou vários arquivos individuais

Se você quiser desfragmentar apenas um único arquivo ou uma lista de arquivos, poderá usar o utilitário Contig para fazer exatamente isso. Claro, você não precisa realmente desfragmentar arquivos em versões modernas do Windows que fazem isso automaticamente. E sim, se você estiver usando uma unidade de estado sólido, nunca deve desfragmentar nem precisa. Mas se você absolutamente, positivamente, deve desfragmentar um único arquivo, este é o utilitário para fazê-lo. A sintaxe é simples:

contig

Se você quiser analisar a fragmentação de um arquivo sem realmente fazer nada, use a opção -a, conforme mostrado abaixo:

Vale a pena notar que, mesmo que um arquivo seja fragmentado, se o arquivo for muito grande e dividido apenas em alguns fragmentos grandes, você não ganhará nada com a desfragmentação e terá perdido mais tempo incomodando com ele do que o salvaria.
Vale a pena notar que, mesmo que um arquivo seja fragmentado, se o arquivo for muito grande e dividido apenas em alguns fragmentos grandes, você não ganhará nada com a desfragmentação e terá perdido mais tempo incomodando com ele do que o salvaria.

du mostra o uso do disco

Você pode sempre apenas clicar com o botão direito do mouse em qualquer arquivo ou pasta no Windows Explorer e escolher Propriedades, ou usar o atalho de teclado ALT + ENTER para ver o tamanho de um arquivo ou pasta.Mas e se você quiser ver esses dados no prompt de comando? É aí que entra o utilitário du, e também é um pouco mais preciso porque não conta arquivos vinculados simbólicos e também verifica fluxos de dados alternativos.

A opção -n apenas verifica uma única pasta, sem recursionar em subdiretórios, enquanto a opção -v faz recursão e também mostra cada diretório conforme ele passa pela lista, e a opção -l (n) verifica apenas “n” níveis profundos. Como em, -l 2 verificaria 2 níveis de profundidade.
A opção -n apenas verifica uma única pasta, sem recursionar em subdiretórios, enquanto a opção -v faz recursão e também mostra cada diretório conforme ele passa pela lista, e a opção -l (n) verifica apenas “n” níveis profundos. Como em, -l 2 verificaria 2 níveis de profundidade.

PendMoves exibe arquivos seguindo na próxima reinicialização

Alguma vez você já se perguntou por que as instalações de aplicativos fazem com que você reinicie o computador? A resposta geralmente é que eles querem mover alguns arquivos que não podem ser movidos enquanto o Windows está em execução, então eles usam um recurso interno do Windows que manipula a movimentação ou a exclusão de arquivos na reinicialização.

A única coisa que você precisa fazer é executar o comando e ele emitirá os dados. Por que uma cópia do Process Explorer está agendada para passar para a pasta do Windows na próxima reinicialização? Leia.

Image
Image

MoveFiles move arquivos do sistema quando você reinicia

Este utilitário usa o recurso interno do Windows para agendar uma movimentação, exclusão ou renomeação de um arquivo ou diretório para que isso aconteça durante o próximo ciclo de reinicialização, antes que o Windows seja totalmente carregado. A sintaxe é muito simples:

movefile

Se você quiser excluir um arquivo, você pode usar um destino vazio usando aspas, comomovefile “”. Como você pode ver na imagem abaixo, usamos o comando Movefile para agendar uma cópia do explorador de processos a ser movido para o diretório do Windows para ilustrar como tudo funciona.

Image
Image

Junção Cria Links Simbólicos

O Windows suporta links simbólicos para arquivos e pastas, para que você possa ter mais de um ponto de caminho para o mesmo arquivo para economizar espaço em vez de ter várias cópias de um arquivo. A ideia é semelhante a atalhos, exceto que isso está no nível do sistema de arquivos e incorporado ao NTFS.

O utilitário Junction permite criar e excluir esses links facilmente. Você também pode excluí-los usandojunção -d .

junction

A realidade, no entanto, é que o Windows desde o Vista teve a capacidade de criar links simbólicos com o comando mklink, e você pode também usá-lo.

FindLinks localiza links para arquivos

Este pequeno utilitário localiza todos os links físicos apontando para um arquivo. Os links físicos são diferentes dos links simbólicos, pois excluir um link físico na verdade não exclui o arquivo se houver mais links para esse arquivo, ele apenas o excluirá até que você tenha excluído todos os links físicos. Depois de excluir o link físico final, o arquivo será excluído.

Nota: essa pode ser uma maneira interessante de garantir que um determinado arquivo não seja realmente excluído por alguém que tenha o hábito de excluir arquivos. Basta criar um link para todos os arquivos que você não deseja que eles percam.

Em qualquer caso, você pode usar este comando com facilidade:

findlinks

O único problema é que o Windows 7 e o 8 têm um comando interno que faz a mesma coisa. Use este em vez disso:

fsutil hardlink list

Nota:É sempre melhor aprender a usar o recurso interno quando possível, porque você nunca sabe quando precisará fazer algo no computador de outra pessoa quando não tiver seu kit de ferramentas.

DiskView exibe estrutura de disco

Este utilitário permite que você veja a estrutura do seu disco rígido em detalhes, e você pode até mesmo ampliar e escolher um arquivo para destacar na lista, para que você possa ver onde um determinado arquivo está na unidade, e também veja se está fragmentado ou não. Não é muito útil para a maioria das pessoas, mas esperamos que você tenha um cenário em que possa precisar usá-lo.

Image
Image

Disk2vhd transforma PCs em discos rígidos virtuais

Esse utilitário cria um clone do disco rígido do computador enquanto ele está em execução e o agrupa em um arquivo de disco rígido virtual que pode ser usado em uma máquina virtual. E isso acontece enquanto o PC está funcionando.

É isso mesmo, você pode criar uma máquina virtual do disco rígido enquanto o computador está em execução. Isso também pode ser muito útil para situações em que você queira fazer uma análise forense de uma máquina, mas em seu próprio computador - basta criar um clone e, em seguida, inicializá-lo como uma máquina virtual.

A opção para o Vhdx diz ao Disk2vhd para usar o formato de arquivo VHDX mais recente, em vez do formato de arquivo VHD, que tinha várias limitações. Por padrão, o Disk2vhd cria arquivos separados para cada unidade física, mas coloca as partições no mesmo arquivo. Se você planeja anexar esse arquivo VHD a outra máquina virtual, ou apenas montá-lo em um computador Windows comum, desmarque as partições que não precisa na lista. Se você planeja criar uma máquina virtual, provavelmente deve deixar tudo marcado.

O arquivo de saída do VHD pode, na verdade, ser colocado na mesma unidade em que você está fazendo uma cópia, mas recomendamos, se possível, usar uma segunda unidade para que tudo seja mais rápido.
O arquivo de saída do VHD pode, na verdade, ser colocado na mesma unidade em que você está fazendo uma cópia, mas recomendamos, se possível, usar uma segunda unidade para que tudo seja mais rápido.

PageDefrag é obsoleto

Esse utilitário permitia que você desfragmentasse arquivos do sistema durante a inicialização, mas como não funciona nas versões recentes do Windows, você deve ignorá-lo.

Sincronizar Grava Dados em Cache no Seu Disco

Esse utilitário simplesmente sincroniza todos os dados armazenados em cache no disco para garantir que todas as alterações de arquivo sejam gravadas na unidade e não armazenadas em algum buffer em algum lugar. É claro que você deve usar a opção Remover com segurança sempre que quiser ter certeza de que não perderá dados ao puxar uma unidade flash.

Image
Image

Monitor de disco mostra atividade de disco rígido em tempo real

Este utilitário mostra a atividade real do disco rígido acontecendo em tempo real - setores, leituras, gravações, o tamanho dos dados, tudo está lá.O único problema é que não é muito útil para a maioria das pessoas.

O que é um pouco mais útil, talvez, é o monitoramento do disco “Tray Disk Light” que você pode escolher no menu Opções. Depois que você ativar esse modo, ele será movido para a bandeja do sistema e piscará em vermelho para gravações, ficará verde para as leituras ou ficará cinza quando nada estiver acontecendo.
O que é um pouco mais útil, talvez, é o monitoramento do disco “Tray Disk Light” que você pode escolher no menu Opções. Depois que você ativar esse modo, ele será movido para a bandeja do sistema e piscará em vermelho para gravações, ficará verde para as leituras ou ficará cinza quando nada estiver acontecendo.
Se apenas o ícone correspondesse ao Windows 8 um pouco melhor.
Se apenas o ícone correspondesse ao Windows 8 um pouco melhor.

VolumeID altera o número de série do Drive

Você já notou como cada unidade tem um número de série que parece 064B-1E81 ou algo igualmente desinteressante? Se você quiser mudar esse número de série para algo mais divertido, você pode fazê-lo usando o utilitário VolumeID com esta sintaxe:

volumeid XXXX-XXXX

Por favor, note que a sintaxe requer o uso de caracteres hexadecimais, então você não pode digitar GEEK-1337 como fizemos, porque ele simplesmente não vai funcionar.

Image
Image

Próxima lição

Amanhã vamos encerrar a série com uma olhada em algumas das pequenas utilidades que perdemos, bem como algumas orientações sobre como usar todas as ferramentas juntas, e quando você deve retirar cada ferramenta.

Recomendado: