Wir sind fast fertig mit unserer Geek School-Serie zu SysInternals-Tools. Heute werden wir über alle Hilfsprogramme sprechen, die Ihnen beim Umgang mit Dateien und Ordnern helfen - ob Sie nun versteckte Daten finden oder eine Datei sicher löschen.

SCHULNAVIGATION
  1. Was sind die SysInternals-Tools und wie verwenden Sie sie?
  2. Prozess-Explorer verstehen
  3. Verwenden von Process Explorer zur Fehlerbehebung und Diagnose
  4. Prozessmonitor verstehen
  5. Verwenden von Process Monitor zur Problembehandlung und zum Suchen von Registrierungs-Hacks
  6. Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware
  7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
  8. Verwenden von PsTools zum Steuern anderer PCs über die Befehlszeile
  9. Analysieren und Verwalten von Dateien, Ordnern und Laufwerken
  10. Zusammenfassen und Verwenden der Tools

Das Toolkit enthält eine Reihe von Dienstprogrammen, die sich mit allen möglichen Dingen befassen, die sich auf Dateien oder Ordner beziehen, oder nach Daten suchen, von denen Sie nicht wussten, dass sie vorhanden sind, und es gibt einige, die etwas albern sind. So oder so werden wir sie alle abdecken.

Die wichtigsten dateibezogenen Tools im Kit, die Sie kennenlernen sollten, sind wahrscheinlich die Dienstprogramme Sigcheck und Streams. Es ist jedoch ratsam, sie alle sorgfältig durchzulesen.

Streams Findet versteckte NTFS-Streams und zeigt sie an

Die meisten Benutzer wissen nichts über diese Funktion, aber Windows ermöglicht das Speichern von Daten in einem versteckten Fach im Dateisystem, das als alternative Datenströme bezeichnet wird. Dies funktioniert im Wesentlichen, indem bei der Interaktion ein Doppelpunkt und ein eindeutiger Schlüssel an das Ende eines Dateinamens angehängt werden.

Wenn Sie beispielsweise Daten in einer Datei ausblenden möchten, können Sie beispielsweise Folgendes tunecho Secret> filename.txt: hiddenstuffSelbst wenn Sie diese Textdatei in Notepad geöffnet haben, wird der von Ihnen hinzugefügte „Geheimtext“ nicht angezeigt, und es gibt keine andere Möglichkeit, zu wissen, dass sie überhaupt vorhanden ist. In der Tat können Sie mit dieser Technik fast alles machen, was Sie möchten. (Lesen Sie unseren Artikel zu diesem Thema, um eine vollständige Erklärung zu erhalten.)

Mit dieser Technik kann Windows auf magische Weise wissen, dass Dateien aus dem Internet heruntergeladen wurden, indem Daten im Feld Zone.Identifier ausgeblendet werden. Sie können diesen alternativen Datenstrom sogar mit dem Streams-Dienstprogramm löschen.

Die Syntax ist einfach: Um die Streams anzuzeigen, geben Sie Folgendes an der Eingabeaufforderung ein:

streams

Sie können auch "streams * .exe" oder ähnliches verwenden, um alle Dateien mit versteckten Stream-Daten anzuzeigen, sofern vorhanden. Am schnellsten sehen Sie etwas, indem Sie in Ihr Download-Verzeichnis gehen und es dort ausführen.

Um einen oder mehrere Streams zu löschen, können Sie die Option -d verwenden:

streams -d

Sie können auch die Option -s verwenden, um rekursiv in Unterverzeichnisse zu wechseln.

SigCheck analysiert Dateien, die nicht digital signiert sind (wie Malware)

Dieses sehr nützliche Dienstprogramm analysiert die digitalen Signaturen von Dateien in Ihrem System und zeigt an, ob sie gültig sind oder ein Zertifikat fehlen. Sie können es auch verwenden, um Dateien von der Befehlszeile aus auf VirusTotal zu überprüfen. Dies ist praktisch, da dies der eigentliche Punkt dieses Tools ist, nämlich Malware zu finden.

Die normale und nützlichste Syntax ist das Hinzufügen der Option -u, die nur Probleme meldet, und der Option -e, die nur ausführbare Dateien überprüft. So können Sie beispielsweise das System32-Verzeichnis überprüfen und sicherstellen, dass alle Dateien digital signiert sind. Alles andere sollte sehr genau geprüft werden.

sigcheck -e -u C:WindowsSystem32

Sie können die Option -v auch für eine zusätzliche Prüfung gegen VirusTotal verwenden. Sie müssen jedoch beim ersten Mal die Option -vt verwenden, um deren Bedingungen zu akzeptieren.

sigcheck -v -vt

SDelete löscht Dateien sicher

Wenn Sie der Paranoid-Typ sind, werden Sie froh sein, dass Sie Dateien jederzeit sicher von der Befehlszeile löschen können. Verwenden Sie einfach das Dienstprogramm sdelete, um die Datei mit DoD-kompatiblen Löschprotokollen zu versehen. (Natürlich hat die NSA wahrscheinlich noch eine Kopie Ihrer Datei). Die Syntax ist einfach:

sdelete

Sie können den freien Speicherplatz auf einem Laufwerk alternativ mit dem Laufwerk löschensdelete -cDiese Option dauert länger, ist jedoch eine gute Option, wenn Sie vergessen haben, sdelete zu verwenden, um die Datei an erster Stelle zu entfernen.

Contig defragmentiert eine oder viele einzelne Dateien

Wenn Sie nur eine einzelne Datei oder eine Liste von Dateien defragmentieren möchten, können Sie dies mit dem Contig-Dienstprogramm tun. Sicher, Sie müssen Dateien in modernen Windows-Versionen, die dies automatisch tun, nicht wirklich defragmentieren. Und ja, wenn Sie ein Solid-State-Laufwerk verwenden, sollten Sie niemals defragmentieren oder müssen. Wenn Sie jedoch unbedingt eine einzelne Datei defragmentieren müssen, müssen Sie dies unbedingt tun. Die Syntax ist einfach:

contig

Wenn Sie die Fragmentierung einer Datei analysieren möchten, ohne etwas zu tun, können Sie den Schalter -a wie folgt verwenden:

Es ist erwähnenswert, dass selbst wenn eine Datei fragmentiert ist, wenn die Datei sehr groß ist und nur in einige große Teile zerbrochen ist, Sie durch das Defragmentieren im Wesentlichen nichts gewinnen und mehr Zeit mit der Erstellung verbringen müssen, als Sie sparen würden.

du Zeigt die Datenträgerverwendung

Sie können immer mit der rechten Maustaste auf eine beliebige Datei oder einen Ordner in Windows Explorer klicken und Eigenschaften auswählen oder die Tastenkombination ALT + ENTER verwenden, um die Größe einer Datei oder eines Ordners anzuzeigen.Was aber, wenn Sie diese Daten an der Eingabeaufforderung sehen möchten? Hier kommt das du-Dienstprogramm zum Einsatz, und es ist auch etwas genauer, da symbolische verknüpfte Dateien nicht gezählt werden und auch alternative Datenströme geprüft werden.

Die Option -n prüft nur einen einzelnen Ordner, ohne in Unterverzeichnisse zu rekursieren, während die Option -v rekursiv ist und jedes Verzeichnis beim Durchlaufen der Liste anzeigt. Mit der Option -l (n) werden nur "n" Ebenen geprüft. Wie in, würde -l 2 2 Ebenen tief prüfen.

PendMoves zeigt Dateien an, die beim nächsten Neustart ausgeführt werden

Haben Sie sich jemals gefragt, warum die Installation von Anwendungen dazu führt, dass Sie Ihren Computer neu starten? Die Antwort ist in der Regel, dass einige Dateien verschoben werden sollen, die während der Ausführung von Windows nicht verschoben werden können. Sie verwenden daher eine integrierte Windows-Funktion, die das Verschieben oder Löschen von Dateien beim Neustart übernimmt.

Das einzige, was Sie tun müssen, ist, den Befehl auszuführen und die Daten auszugeben. Warum soll beim nächsten Neustart eine Kopie von Process Explorer in den Windows-Ordner verschoben werden? Weiter lesen.

MoveFiles Verschiebt Systemdateien beim Neustart

Dieses Dienstprogramm verwendet die integrierte Windows-Funktion, um das Verschieben, Löschen oder Umbenennen einer Datei oder eines Verzeichnisses so zu planen, dass es beim nächsten Neustart vor dem vollständigen Laden von Windows ausgeführt wird. Die Syntax ist sehr einfach:

movefile

Wenn Sie eine Datei löschen möchten, können Sie ein leeres Ziel verwenden, indem Sie Anführungszeichen wie verwendenDatei bewegen “”. Wie Sie in der Abbildung unten sehen können, haben wir mit dem Befehl "Movefile" eine Kopie des Prozess-Explorers geplant, die in das Windows-Verzeichnis verschoben werden soll, um zu veranschaulichen, wie alles funktioniert.

Kreuzung erstellt symbolische Verknüpfungen

Windows unterstützt symbolische Links für Dateien und Ordner, sodass mehr als ein Pfad auf dieselbe Datei verweisen kann, um Speicherplatz zu sparen, anstatt mehrere Kopien einer Datei zu erstellen. Die Idee ist ähnlich wie bei Verknüpfungen, nur dass dies auf Dateisystemebene erfolgt und in NTFS integriert ist.

Mit dem Junction-Dienstprogramm können Sie diese Links problemlos erstellen und löschen. Sie können sie auch mit löschenKreuzung -d .

junction

Die Realität ist jedoch, dass Windows seit Vista die Möglichkeit hat, Symlinks mit dem Befehl mklink zu erstellen, und Sie können stattdessen auch diesen Link verwenden.

FindLinks Findet feste Links zu Dateien

Dieses kleine Dienstprogramm findet alle harten Links, die auf eine Datei verweisen. Hardlinks unterscheiden sich von symbolischen Links darin, dass das Löschen eines Hardlinks die Datei nicht wirklich löscht, wenn mehr Hardlinks zu dieser Datei vorhanden sind. Es scheint nur so, als würden sie gelöscht, bis Sie alle Hardlinks gelöscht haben. Wenn Sie den endgültigen Hardlink löschen, wird die Datei gelöscht.

HinweisDies könnte tatsächlich eine interessante Möglichkeit sein, um sicherzustellen, dass eine bestimmte Datei nicht wirklich von jemandem gelöscht wird, der die Angewohnheit hat, Dateien zu löschen. Erstellen Sie einfach einen Hardlink zu allen Dateien, die Sie nicht verlieren möchten.

In jedem Fall können Sie diesen Befehl leicht genug verwenden:

findlinks

Das einzige Problem ist, dass Windows 7 und 8 über einen integrierten Befehl verfügen, der dasselbe tut. Verwenden Sie stattdessen diese:

fsutil hardlink list

Hinweis:Es ist immer besser, wenn möglich, die Verwendung des integrierten Materials zu erlernen, da Sie nie wissen, wann Sie auf dem Computer eines anderen Benutzers etwas tun müssen, wenn Sie kein Toolkit haben.

DiskView Zeigt die Festplattenstruktur an

Mit diesem Dienstprogramm können Sie die Struktur Ihrer Festplatte sehr detailliert anzeigen. Sie können sogar ganz hineinzoomen und eine Datei auswählen, die in der Liste markiert werden soll. So können Sie sehen, wo sich eine bestimmte Datei auf der Festplatte befindet Sehen Sie, ob es fragmentiert ist oder nicht. Es ist für die meisten Menschen nicht besonders nützlich, aber hoffentlich haben Sie ein Szenario, in dem Sie es möglicherweise verwenden müssen.

Disk2vhd Verwandelt PCs in virtuelle Festplatten

Dieses Dienstprogramm erstellt einen Klon der Festplatte Ihres Computers, während es ausgeführt wird, und bündelt alles in einer Datei für eine virtuelle Festplatte, die in einer virtuellen Maschine verwendet werden kann. Und das, während der PC läuft.

Das ist richtig, Sie können eine virtuelle Maschine von Ihrer Festplatte erstellen, während Ihr Computer läuft. Dies kann auch in Situationen hilfreich sein, in denen Sie eine forensische Analyse einer Maschine durchführen möchten, jedoch auf Ihrem eigenen Computer. Sie können einfach einen Klon erstellen und ihn stattdessen als virtuelle Maschine starten.

Die Option für Vhdx weist Disk2vhd an, das neuere VHDX-Dateiformat anstelle des VHD-Dateiformats zu verwenden, das eine Reihe von Einschränkungen hatte. Standardmäßig erstellt Disk2vhd separate Dateien für jedes physische Laufwerk, fügt jedoch Partitionen in dieselbe Datei ein. Wenn Sie einfach planen, diese VHD-Datei an eine andere virtuelle Maschine anzuhängen oder sie einfach auf einem normalen Windows-Computer zu mounten, können Sie die Partitionen deaktivieren, die Sie nicht in der Liste benötigen. Wenn Sie vorhaben, eine virtuelle Maschine daraus zu erstellen, sollten Sie wahrscheinlich alles in Ruhe lassen.

Die VHD-Ausgabedatei kann tatsächlich auf demselben Laufwerk abgelegt werden, von dem Sie eine Kopie erstellen. Wir empfehlen jedoch, wenn möglich, ein zweites Laufwerk zu verwenden, um alles schneller zu machen.

PageDefrag ist veraltet

Mit diesem Dienstprogramm können Sie Systemdateien während des Startvorgangs defragmentieren. Da dies jedoch nicht mit den neuesten Windows-Versionen möglich ist, sollten Sie es überspringen.

Bei der Synchronisierung werden zwischengespeicherte Daten auf die Festplatte geschrieben

Dieses Dienstprogramm synchronisiert einfach alle zwischengespeicherten Daten auf die Festplatte, um sicherzustellen, dass alle Dateiänderungen auf das Laufwerk geschrieben und nicht irgendwo in einem Puffer gespeichert werden. Natürlich sollten Sie die Option Sicheres Entfernen jedes Mal verwenden, wenn Sie beim Ziehen eines Flash-Laufwerks sicherstellen möchten, dass keine Daten verloren gehen.

Disk Monitor zeigt Ihnen die Aktivität Ihrer Festplatte in Echtzeit an

Dieses Dienstprogramm zeigt die tatsächliche Festplattenaktivität in Echtzeit an - Sektoren, Lese- und Schreibvorgänge, die Länge der Daten, alles ist vorhanden.Das einzige Problem ist, dass es für die meisten Menschen nicht besonders nützlich ist.

Etwas nützlicher ist vielleicht die Festplattenüberwachung "Tray Disk Light", die Sie im Menü "Optionen" auswählen können. Wenn Sie diesen Modus aktivieren, wird er in die Taskleiste verschoben und blinkt rot für Schreibvorgänge, grün für Lesevorgänge oder bleibt grau, wenn nichts passiert.

Wenn nur das Symbol mit Windows 8 etwas besser übereinstimmt.

VolumeID Ändert die Seriennummer des Laufwerks

Ist Ihnen jemals aufgefallen, dass jedes Laufwerk eine Seriennummer hat, die wie 064B-1E81 aussieht, oder etwas, das ebenso uninteressant ist? Wenn Sie diese Seriennummer in etwas mehr Spaß ändern möchten, können Sie dies mit dem VolumeID-Dienstprogramm mit der folgenden Syntax tun:

volumeid XXXX-XXXX

Bitte beachten Sie, dass die Syntax die Verwendung von Hexadezimalzeichen erfordert, sodass Sie den GEEK-1337 nicht so eingeben können, wie wir es getan haben, da dies einfach nicht funktioniert.

Nächste Lektion

Morgen werden wir die Serie mit einem Blick auf einige der kleinen Hilfsprogramme abschließen, die wir vermisst haben, sowie einige Anleitungen, wie Sie alle Werkzeuge zusammen verwenden und wann Sie die einzelnen Werkzeuge herausnehmen sollten.

Top-Tipps:
Kommentare: