Menganalisis dan Mengelola File, Folder, dan Drive Anda
Kita hampir selesai dengan seri Geek School kita pada alat SysInternals, dan hari ini kita akan berbicara tentang semua utilitas yang membantu Anda menangani file dan folder - apakah Anda menemukan data tersembunyi atau menghapus file dengan aman.
NAVIGASI SEKOLAH- Apa Alat SysInternals dan Bagaimana Cara Anda Menggunakannya?
- Memahami Proses Explorer
- Menggunakan Process Explorer untuk Mengatasi Masalah dan Diagnosis
- Memahami Proses Monitor
- Menggunakan Monitor Proses untuk Memecahkan Masalah dan Menemukan Hacks Registry
- Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
- Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
- Menggunakan PsTools untuk Mengontrol PC Lain dari Baris Perintah
- Menganalisis dan Mengelola File, Folder, dan Drive Anda
- Membungkus dan Menggunakan Alat Bersama
Ada beberapa utilitas dalam toolkit yang menangani segala macam hal yang berkaitan dengan file atau folder atau menemukan data yang tidak Anda ketahui ada di sana, dan ada beberapa yang sedikit di sisi konyol. Bagaimanapun, kita akan membahas semuanya.
Alat terkait file yang paling penting dalam kit untuk mengenalinya mungkin adalah utilitas Sigcheck dan Streams, tetapi akan lebih bijaksana untuk membaca semuanya dengan hati-hati..
Streaming Menemukan dan Menampilkan Streaming NTFS Tersembunyi
Kebanyakan orang tidak tahu tentang fitur ini, tetapi Windows akan membiarkan Anda menyimpan data di dalam kompartemen tersembunyi di sistem file yang disebut stream data alternatif. Ini pada dasarnya bekerja dengan menambahkan titik dua dan kunci unik ke akhir nama file ketika berinteraksi dengannya.
Misalnya, jika Anda ingin menyembunyikan beberapa data dalam file, Anda bisa melakukan sesuatu seperti echo Secret> filename.txt: hiddenstuff dan bahkan jika Anda membuka file teks itu di Notepad, Anda tidak akan melihat teks "Rahasia" yang Anda tambahkan, dan tidak akan ada cara lain untuk mengetahui bahwa itu ada di sana. Bahkan, Anda dapat melakukan hampir semua hal yang Anda inginkan menggunakan teknik ini. (Pastikan untuk membaca artikel kami tentang masalah ini untuk penjelasan lengkap).
Ini juga merupakan teknik yang memungkinkan Windows secara ajaib mengetahui bahwa file telah diunduh dari internet, dengan menyembunyikan data di dalam bidang Zone.Identifier. Bahkan, Anda dapat menghapus aliran data alternatif ini menggunakan utilitas Streams.
Sintaksnya sederhana - untuk melihat stream, ketikkan yang berikut saat diminta:
stream
Anda juga dapat menggunakan "streams * .exe" atau sesuatu seperti itu untuk melihat semua file dengan data stream tersembunyi, jika ada. Cara tercepat untuk melihat sesuatu adalah dengan masuk ke direktori unduhan Anda dan jalankan di sana.
Untuk menghapus salah satu stream atau banyak dari mereka, Anda dapat menggunakan opsi -d:
stream -d
Anda juga dapat menggunakan opsi -s untuk masuk ke subdirektori secara rekursif.
SigCheck Menganalisis File yang Tidak Ditandatangani Secara Digital (Seperti Malware)
Utilitas ini sangat berguna menganalisis tanda tangan digital file pada sistem Anda dan memberi tahu Anda apakah mereka valid atau tidak memiliki sertifikat. Anda juga dapat menggunakannya untuk memeriksa file terhadap VirusTotal dari baris perintah, yang nyaman, karena itulah titik sebenarnya dari alat ini, adalah untuk menemukan malware.
Sintaks yang normal dan paling berguna adalah menambahkan -u switch, yang hanya melaporkan masalah, dan -e switch, yang hanya memeriksa file yang dapat dieksekusi. Jadi Anda dapat menjalankan sesuatu seperti ini untuk memeriksa direktori system32 Anda dan memastikan bahwa semua file di sana ditandatangani secara digital. Hal lain harus diperiksa dengan cermat.
sigcheck -e -u C: \ Windows \ System32
Anda juga dapat menggunakan opsi -v untuk pemeriksaan tambahan terhadap VirusTotal, tetapi Anda harus menggunakan opsi -vt pertama kali untuk menerima syarat dan ketentuan mereka.
sigcheck -v -vt
SDelete Menghapus File dengan Aman
Jika Anda adalah tipe paranoid, Anda akan senang mengetahui bahwa Anda dapat menghapus file dari baris perintah dengan aman kapan saja Anda mau. Cukup gunakan utilitas sdelete untuk memukul file dengan protokol penghapusan yang sesuai dengan DoD. (Tentu saja NSA mungkin masih memiliki salinan file Anda). Sintaksnya sederhana:
sdelete
Anda juga dapat membersihkan ruang kosong pada drive dengan menggunakan sdelete -c opsi, yang akan memakan waktu lebih lama, tetapi merupakan pilihan yang baik jika Anda lupa menggunakan sdelete untuk menghapus file di tempat pertama.
Contig Defragments Satu atau Banyak File Individual
Jika Anda ingin men-defrag hanya satu file tunggal, atau daftar file, Anda dapat menggunakan utilitas Contig untuk melakukan hal itu. Tentu, Anda tidak perlu mendefrag file dalam versi modern Windows yang melakukannya secara otomatis. Dan ya, jika Anda menggunakan solid state drive Anda seharusnya tidak pernah defragment atau perlu. Tetapi jika Anda benar-benar, pasti, harus mendefrag file tunggal, ini adalah utilitas untuk melakukannya. Sintaksnya sederhana:
contig
Jika Anda ingin menganalisis fragmentasi file tanpa benar-benar melakukan apa pun, Anda dapat menggunakan -a seperti yang ditunjukkan di bawah ini:
Perlu dicatat bahwa bahkan jika sebuah file terfragmentasi, jika file tersebut sangat besar dan hanya dipecah menjadi beberapa bagian besar, Anda pada dasarnya tidak akan mendapatkan apa pun dari defragmenting dan akan membuang-buang waktu untuk mengganggunya daripada Anda akan menghemat.
du Menunjukkan Penggunaan Disk
Anda selalu dapat mengklik kanan file atau folder apa saja di Windows Explorer dan memilih Properties, atau menggunakan pintasan keyboard ALT + ENTER untuk melihat ukuran file atau folder. Tetapi bagaimana jika Anda ingin melihat data itu dari command prompt? Di situlah du utilitas datang, dan juga sedikit lebih akurat karena tidak menghitung file terkait simbolis, dan itu memeriksa aliran data alternatif juga.
Opsi -n hanya memeriksa satu folder, tanpa berulang ke dalam subdirektori, sedangkan opsi -v tidak berulang dan juga menampilkan setiap direktori saat melewati daftar, dan opsi -l (n) memeriksa hanya sedalam “n” level. Seperti pada, -l 2 akan memeriksa 2 level.
PendMoves Menampilkan File Pindah pada Reboot Berikutnya
Pernahkah Anda bertanya-tanya mengapa instalasi aplikasi membuat Anda me-reboot komputer Anda? Jawabannya biasanya adalah mereka ingin memindahkan beberapa file yang tidak dapat dipindahkan saat Windows sedang berjalan, sehingga mereka menggunakan fitur bawaan Windows yang menangani memindahkan atau menghapus file saat reboot.
Satu-satunya hal yang perlu Anda lakukan adalah menjalankan perintah, dan itu akan menampilkan data. Mengapa salinan Process Explorer dijadwalkan untuk pindah ke folder Windows pada reboot berikutnya? Baca terus.
MoveFiles Memindahkan File Sistem saat Anda Reboot
Utilitas ini menggunakan fitur bawaan Windows untuk menjadwalkan pemindahan, penghapusan, atau penggantian nama file atau direktori sehingga akan terjadi selama siklus reboot berikutnya, sebelum Windows dimuat penuh. Sintaksnya sangat sederhana:
file bergerak
Jika Anda ingin menghapus file, Anda dapat menggunakan tujuan kosong dengan menggunakan tanda kutip, seperti movefile "". Seperti yang Anda lihat pada tangkapan layar di bawah ini, kami menggunakan perintah Movefile untuk menjadwalkan salinan proses penjelajah untuk dipindahkan ke direktori Windows untuk menggambarkan cara kerjanya..
Junction Membuat Tautan Simbolik
Windows mendukung tautan simbolis untuk file dan folder, sehingga Anda dapat memiliki lebih dari satu jalur jalur ke file yang sama untuk menghemat ruang alih-alih memiliki banyak salinan file. Idenya mirip dengan cara pintas, kecuali ini pada tingkat sistem file dan dibangun ke dalam NTFS.
Utilitas Junction memungkinkan Anda membuat dan menghapus tautan ini dengan mudah. Anda juga dapat menghapusnya menggunakan persimpangan -d .
persimpangan jalan
Kenyataannya, bagaimanapun, adalah bahwa Windows sejak Vista memiliki kemampuan untuk membuat symlink dengan perintah mklink, dan Anda dapat menggunakan yang itu sebagai gantinya.
FindLinks Menemukan Tautan Keras ke File
Utilitas kecil ini menemukan semua tautan keras yang menunjuk ke sebuah file. Tautan keras berbeda dari tautan simbolis karena menghapus satu tautan keras tidak benar-benar menghapus file jika ada lebih banyak tautan keras ke file itu, hanya akan menghapusnya hingga Anda menghapus semua tautan keras itu. Setelah Anda menghapus tautan keras terakhir, file tersebut akan dihapus.
Catatan: ini sebenarnya bisa menjadi cara yang menarik untuk memastikan bahwa file tertentu tidak benar-benar dihapus oleh seseorang yang memiliki kebiasaan menghapus file. Buat tautan keras ke semua file yang Anda tidak ingin kehilangannya.
Bagaimanapun, Anda dapat menggunakan perintah ini dengan cukup mudah:
findlinks
Satu-satunya masalah adalah bahwa Windows 7 dan 8 memiliki perintah bawaan yang melakukan hal yang sama. Gunakan yang ini sebagai gantinya:
daftar fsutil hardlink
catatan: Selalu lebih baik untuk belajar menggunakan hal-hal bawaan jika memungkinkan, karena Anda tidak pernah tahu kapan Anda harus melakukan sesuatu pada komputer orang lain ketika Anda tidak memiliki perangkat Anda.
DiskView Menampilkan Struktur Disk
Utilitas ini memungkinkan Anda untuk melihat struktur hard drive Anda dengan sangat rinci, dan Anda bahkan dapat memperbesar semua jalan dan memilih file untuk disorot dalam daftar, sehingga Anda dapat melihat di mana file tertentu berada di drive, dan juga lihat apakah itu terfragmentasi atau tidak. Ini tidak terlalu berguna bagi kebanyakan orang, tetapi mudah-mudahan Anda punya skenario di mana Anda mungkin perlu menggunakannya.
Disk2vhd Mengubah PC menjadi Virtual Hard Drive
Utilitas ini membuat tiruan dari hard drive komputer Anda saat sedang berjalan, dan menggabungkan semuanya menjadi file Hard Drive Virtual yang dapat digunakan di mesin virtual. Dan ini dilakukan saat PC sedang berjalan.
Itu benar, Anda dapat membuat mesin virtual dari hard drive Anda saat komputer Anda berjalan. Ini juga bisa sangat membantu untuk skenario di mana Anda ingin melakukan beberapa analisis forensik dari sebuah mesin tetapi di komputer Anda sendiri - Anda bisa saja membuat klon dan kemudian boot sebagai mesin virtual sebagai gantinya.
Opsi untuk Vhdx memberitahu Disk2vhd untuk menggunakan format file VHDX yang lebih baru daripada format file VHD, yang memiliki sejumlah keterbatasan. Secara default Disk2vhd akan membuat file terpisah untuk setiap drive fisik, tetapi menempatkan partisi ke dalam file yang sama. Jika Anda hanya berencana untuk melampirkan file VHD ini ke mesin virtual lain, atau bahkan hanya memasangnya di komputer Windows biasa, Anda dapat menghapus centang partisi yang tidak Anda butuhkan dalam daftar. Jika Anda berencana untuk membuat mesin virtual, Anda mungkin harus membiarkan semuanya diperiksa.
File keluaran VHD sebenarnya dapat ditempatkan pada drive yang sama dengan yang Anda buat salinannya, tetapi kami sarankan menggunakan drive kedua jika mungkin hanya untuk membuat semuanya berjalan lebih cepat.
PageDefrag sudah usang
Utilitas ini memungkinkan Anda untuk mendefrag file sistem selama boot, tetapi karena itu tidak bekerja pada versi Windows terbaru, Anda harus melewatinya.
Sync Menuliskan Data Tembolok ke Disk Anda
Utilitas ini hanya menyinkronkan semua data yang di-cache ke disk untuk memastikan semua perubahan file ditulis ke drive dan tidak disimpan di beberapa buffer di suatu tempat. Tentu saja, Anda harus menggunakan opsi Safely Remove setiap kali jika Anda ingin memastikan bahwa Anda tidak akan kehilangan data saat menarik flash drive..
Monitor Disk Menunjukkan Aktivitas Hard Drive Real-Time Anda
Utilitas ini menunjukkan aktivitas hard drive aktual yang terjadi dalam waktu nyata - sektor, membaca, menulis, panjang data, semuanya ada di sana. Satu-satunya masalah adalah itu tidak terlalu berguna bagi kebanyakan orang.
Apa yang sedikit lebih berguna, mungkin, adalah pemantauan disk "Tray Disk Light" yang dapat Anda pilih dari menu Opsi. Setelah Anda mengaktifkan mode itu, ia akan pindah ke baki sistem dan berkedip merah untuk menulis, hijau untuk dibaca, atau tetap abu-abu ketika tidak ada yang terjadi.
Kalau saja ikon yang cocok dengan Windows 8 sedikit lebih baik.
VolumeID Mengubah Nomor Seri Drive
Pernahkah Anda memperhatikan bagaimana setiap drive memiliki nomor seri yang terlihat seperti 064B-1E81 atau sesuatu yang sama-sama tidak menarik? Jika Anda ingin mengubah nomor seri itu menjadi sesuatu yang lebih menyenangkan, Anda bisa melakukannya dengan menggunakan utilitas VolumeID dengan sintaks ini:
volumeid XXXX-XXXX
Harap perhatikan bahwa sintaks mengharuskan menggunakan karakter heksadesimal, jadi Anda tidak dapat mengetikkan GEEK-1337 seperti yang kami lakukan, karena itu hanya tidak akan berfungsi.
Pelajaran berikutnya
Besok kita akan menyelesaikan seri dengan melihat beberapa utilitas kecil yang kami lewatkan, serta beberapa panduan tentang penggunaan semua alat bersama-sama, dan kapan Anda harus mengeluarkan masing-masing alat.