Analisando e gerenciando seus arquivos, pastas e unidades
Estamos quase terminando nossa série Geek School nas ferramentas da SysInternals, e hoje vamos falar sobre todos os utilitários que ajudam você a lidar com arquivos e pastas - se você está encontrando dados ocultos ou apagando com segurança um arquivo.
NAVEGAÇÃO ESCOLAR- Quais são as ferramentas SysInternals e como você as usa?
- Entendendo o Process Explorer
- Usando o Process Explorer para solucionar problemas e diagnosticar
- Entendendo o Process Monitor
- Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
- Usando o Autoruns para lidar com processos de inicialização e malware
- Usando o BgInfo para exibir informações do sistema na área de trabalho
- Usando o PsTools para controlar outros PCs a partir da linha de comando
- Analisando e gerenciando seus arquivos, pastas e unidades
- Encerrando e usando as ferramentas juntas
Existem alguns utilitários no kit de ferramentas que lidam com todos os tipos de coisas relacionadas a arquivos ou pastas ou que encontram dados que você não sabia que existiam, e há alguns que são um pouco bobos. De qualquer maneira, nós estaremos cobrindo todos eles.
As ferramentas mais importantes relacionadas a arquivos do kit para conhecer são provavelmente os utilitários Sigcheck e Streams, mas seria prudente lê-los cuidadosamente.
Fluxos Localiza e Exibe Fluxos NTFS Ocultos
A maioria das pessoas não sabe sobre esse recurso, mas o Windows permitirá que você armazene dados dentro de um compartimento oculto no sistema de arquivos chamado fluxos de dados alternativos. Isso basicamente funciona acrescentando dois pontos e uma chave exclusiva ao final de um nome de arquivo ao interagir com ele.
Por exemplo, se você quisesse esconder alguns dados em um arquivo, poderia fazer algo como echo Secret> filename.txt: hiddenstuff e mesmo que você abrisse o arquivo de texto no Bloco de Notas, não veria o texto "Secreto" adicionado e não haveria outra maneira de saber se ele estava lá. De fato, você pode fazer quase tudo que quiser usando essa técnica. (Certifique-se de ler o nosso artigo sobre o assunto para a explicação completa).
Essa também é a técnica que permite ao Windows saber magicamente que os arquivos foram baixados da Internet, ocultando dados dentro do campo Zone.Identifier. Na verdade, você pode excluir esse fluxo de dados alternativo usando o utilitário Streams.
A sintaxe é simples - para ver os fluxos, digite o seguinte no prompt:
córregos
Você também pode usar "streams * .exe" ou algo assim para ver todos os arquivos com dados de fluxo ocultos, se houver algum. A maneira mais rápida de ver algo é entrar no diretório de downloads e executá-lo lá.
Para excluir um dos fluxos ou muitos deles, você pode usar a opção -d:
córregos -d
Você também pode usar a opção -s para acessar subdiretórios de forma recursiva.
SigCheck analisa arquivos que não são assinados digitalmente (como malware)
Este utilitário muito útil analisa as assinaturas digitais de arquivos no seu sistema e informa se eles são válidos ou faltando um certificado. Você também pode usá-lo para verificar arquivos contra o VirusTotal na linha de comando, o que é conveniente, porque esse é o ponto real dessa ferramenta, é encontrar malware.
A sintaxe normal e mais útil é adicionar a opção -u, que apenas relata problemas, e a opção -e, que verifica apenas os arquivos executáveis. Portanto, você poderia executar algo assim para verificar o diretório system32 e certificar-se de que todos os arquivos estejam assinados digitalmente. Qualquer outra coisa deve ser examinada de perto.
sigcheck -e -u C: \ Windows \ System32
Você também pode usar a opção -v para uma verificação adicional contra o VirusTotal, mas será necessário usar a opção -vt na primeira vez para aceitar os termos e condições..
sigcheck -v -vt
SDelete exclui arquivos com segurança
Se você é do tipo paranóico, ficará feliz em saber que pode limpar com segurança os arquivos da linha de comando quando quiser. Basta usar o utilitário sdelete para bater o arquivo com protocolos de exclusão compatíveis com DoD. (Claro que a NSA provavelmente ainda tem uma cópia do seu arquivo). A sintaxe é simples:
sdelete
Você pode alternativamente limpar o espaço livre em uma unidade usando o sdelete -c opção, que levará mais tempo, mas é uma boa opção se você esqueceu de usar sdelete para remover o arquivo em primeiro lugar.
Contig desfragmenta um ou vários arquivos individuais
Se você quiser desfragmentar apenas um único arquivo ou uma lista de arquivos, poderá usar o utilitário Contig para fazer exatamente isso. Claro, você realmente não precisa desfragmentar arquivos em versões modernas do Windows que fazem isso automaticamente. E sim, se você estiver usando uma unidade de estado sólido, nunca deve desfragmentar nem precisa. Mas se você absolutamente, positivamente, deve desfragmentar um único arquivo, este é o utilitário para fazê-lo. A sintaxe é simples:
Contig
Se você quiser analisar a fragmentação de um arquivo sem realmente fazer nada, pode usar a opção -a, conforme mostrado abaixo:
Vale a pena notar que, mesmo que um arquivo seja fragmentado, se o arquivo for muito grande e só estiver dividido em alguns pedaços grandes, você não ganhará nada com a desfragmentação e terá perdido mais tempo incomodando com isso do que economizaria..
du mostra o uso do disco
Você pode sempre apenas clicar com o botão direito do mouse em qualquer arquivo ou pasta no Windows Explorer e escolher Propriedades, ou usar o atalho de teclado ALT + ENTER para ver o tamanho de um arquivo ou pasta. Mas e se você quiser ver esses dados no prompt de comando? É aí que entra o utilitário du, e também é um pouco mais preciso porque não conta com arquivos vinculados simbólicos e também verifica fluxos de dados alternativos.
A opção -n apenas verifica uma única pasta, sem recursão em subdiretórios, enquanto a opção -v faz recursão e também mostra cada diretório conforme ele passa pela lista, e a opção -l (n) verifica apenas “n” níveis profundos. Como em, -l 2 verificaria 2 níveis de profundidade.
PendMoves exibe arquivos seguindo na próxima reinicialização
Você já se perguntou por que as instalações de aplicativos fazem com que você reinicie o computador? A resposta é geralmente que eles querem mover alguns arquivos que não podem ser movidos enquanto o Windows está em execução, então eles usam um recurso interno do Windows que manipula mover ou excluir arquivos na reinicialização.
A única coisa que você precisa fazer é executar o comando e ele emitirá os dados. Por que uma cópia do Process Explorer está agendada para passar para a pasta do Windows na próxima reinicialização? Leia.
MoveFiles move arquivos de sistema quando você reinicia
Este utilitário usa o recurso interno do Windows para agendar uma movimentação, exclusão ou renomeação de um arquivo ou diretório para que isso aconteça durante o próximo ciclo de reinicialização, antes que o Windows seja totalmente carregado. A sintaxe é muito simples:
movefile
Se você quiser excluir um arquivo, você pode usar um destino vazio usando aspas, como movefile “”. Como você pode ver na imagem abaixo, usamos o comando Movefile para agendar uma cópia do explorador de processos a ser movido para o diretório do Windows para ilustrar como tudo funciona.
Junção Cria Links Simbólicos
O Windows suporta links simbólicos para arquivos e pastas, para que você possa ter mais de um caminho para o mesmo arquivo para economizar espaço, em vez de ter várias cópias de um arquivo. A ideia é semelhante a atalhos, exceto que isso está no nível do sistema de arquivos e incorporado no NTFS.
O utilitário Junction permite criar e excluir esses links facilmente. Você também pode excluí-los usando junção -d .
junção
A realidade, no entanto, é que o Windows desde o Vista teve a capacidade de criar links simbólicos com o comando mklink, e você pode também usar esse em vez disso.
FindLinks localiza links para arquivos
Este pequeno utilitário localiza todos os links físicos apontando para um arquivo. Os links físicos são diferentes dos links simbólicos, pois excluir um link físico na verdade não exclui o arquivo se houver mais links para esse arquivo, ele apenas parece excluí-lo até que você tenha excluído todos os links físicos. Depois de excluir o link físico final, o arquivo será excluído.
Nota: isso pode ser uma maneira interessante de garantir que um determinado arquivo não seja realmente excluído por alguém que tenha o hábito de excluir arquivos. Basta criar um link para todos os arquivos que você não quer perder.
De qualquer forma, você pode usar esse comando com bastante facilidade:
findlinks
O único problema é que o Windows 7 e o 8 têm um comando interno que faz a mesma coisa. Use este em vez disso:
lista de hardsets fsutil
Nota: É sempre melhor aprender a usar o material embutido quando possível, porque você nunca sabe quando precisará fazer algo no computador de outra pessoa quando não tiver o seu kit de ferramentas..
DiskView exibe estrutura de disco
Este utilitário permite que você veja a estrutura do seu disco rígido em grande detalhe, e você pode até mesmo ampliar todo o caminho e escolher um arquivo para destacar na lista, para que você possa ver onde um determinado arquivo está na unidade, e também veja se está fragmentado ou não. Não é muito útil para a maioria das pessoas, mas espero que você tenha um cenário em que possa precisar usá-lo.
Disk2vhd Transforma PCs em Discos Rígidos Virtuais
Esse utilitário cria um clone do disco rígido do seu computador enquanto ele está em execução e agrupa tudo em um arquivo de disco rígido virtual que pode ser usado em uma máquina virtual. E isso acontece enquanto o PC está rodando.
É isso mesmo, você pode criar uma máquina virtual do seu disco rígido enquanto o seu computador estiver rodando. Isso também pode ser muito útil para situações em que você queira fazer uma análise forense de uma máquina, mas em seu próprio computador - você pode simplesmente criar um clone e inicializá-lo como uma máquina virtual..
A opção para Vhdx diz ao Disk2vhd para usar o formato de arquivo VHDX mais recente, em vez do formato de arquivo VHD, que tinha várias limitações. Por padrão, o Disk2vhd cria arquivos separados para cada unidade física, mas coloca as partições no mesmo arquivo. Se você planeja simplesmente anexar esse arquivo VHD a outra máquina virtual, ou até mesmo montá-lo em um computador Windows comum, poderá desmarcar as partições desnecessárias na lista. Se você planeja fazer uma máquina virtual com isso, provavelmente deveria deixar tudo marcado.
O arquivo de saída do VHD pode, na verdade, ser colocado na mesma unidade em que você está copiando, mas recomendamos usar uma segunda unidade, se possível, apenas para fazer tudo ir mais rápido.
PageDefrag é obsoleto
Este utilitário permitia que você desfragmentasse arquivos do sistema durante a inicialização, mas como não funciona em versões recentes do Windows, você deve ignorá-lo.
Sincronizar Grava Dados em Cache no Seu Disco
Esse utilitário simplesmente sincroniza todos os dados armazenados em cache no disco para garantir que todas as alterações de arquivo sejam gravadas na unidade e não armazenadas em algum buffer em algum lugar. Claro, você deve usar a opção Remover com segurança sempre que quiser ter certeza de que não perderá dados ao puxar uma unidade flash.
Monitor de disco mostra atividade de disco rígido em tempo real
Este utilitário mostra a atividade real do disco rígido acontecendo em tempo real - setores, leituras, gravações, o tamanho dos dados, tudo isso lá. O único problema é que não é muito útil para a maioria das pessoas.
O que é um pouco mais útil, talvez, é o monitoramento do disco “Tray Disk Light” que você pode escolher no menu Opções. Depois que você ativar esse modo, ele será movido para a bandeja do sistema e piscará em vermelho para gravações, ficará verde para as leituras ou ficará cinza quando nada estiver acontecendo.
Se apenas o ícone correspondesse ao Windows 8 um pouco melhor.
VolumeID altera o número de série da unidade
Você já notou como cada unidade tem um número de série que parece 064B-1E81 ou algo igualmente desinteressante? Se você quiser mudar esse número de série para algo mais divertido, você pode fazê-lo usando o utilitário VolumeID com esta sintaxe:
volume XXXX-XXXX
Por favor, note que a sintaxe requer o uso de caracteres hexadecimais, então você não pode digitar GEEK-1337 como fizemos, porque simplesmente não funciona.
Próxima lição
Amanhã vamos encerrar a série com uma olhada em algumas das pequenas utilidades que perdemos, bem como algumas orientações sobre como usar todas as ferramentas juntas, e quando você deve retirar cada ferramenta.