ホームページ » 学校 » ファイル、フォルダ、ドライブの分析と管理

    ファイル、フォルダ、ドライブの分析と管理

    私たちはSysInternalsツールに関する私たちのGeek Schoolシリーズのほとんどを終えました、そして今日私たちはあなたがファイルやフォルダを扱うのを助けるすべてのユーティリティについて話すつもりです - .

    学校のナビゲーション
    1. SysInternalsツールとは何ですか??
    2. プロセスエクスプローラについて
    3. Process Explorerを使用したトラブルシューティングと診断
    4. プロセスモニタについて
    5. Process Monitorを使用したトラブルシューティングとレジストリハッキングの発見
    6. 自動実行を使用して起動プロセスとマルウェアを処理する
    7. BgInfoを使ってデスクトップにシステム情報を表示する
    8. PsToolsを使用してコマンドラインから他のPCを制御する
    9. ファイル、フォルダ、ドライブの分析と管理
    10. ツールをまとめて使用する

    ツールキットには、ファイルやフォルダに関連しているか、またはあなたが知らなかったデータを見つけることに関連するあらゆる種類のことを処理するユーティリティがかなりありますが、少し愚かな面もあります。どちらにしても、それらすべてを網羅します。.

    キットの中で知るために最も重要なファイル関連のツールは、おそらくSigcheckとStreamsユーティリティですが、それらすべてを注意深く読むことは賢明でしょう。.

    隠されたNTFSストリームを見つけて表示する

    ほとんどの人はこの機能について知りませんが、Windowsは代替データストリームと呼ばれるファイルシステム内の隠しコンパートメント内にデータを格納させます。これは基本的に、ファイル名と対話するときに、ファイル名の末尾にコロンと一意のキーを追加することによって機能します。.

    たとえば、ファイル内のデータを隠したい場合は、次のようにします。 echo Secret> filename.txt:hiddenstuff そのテキストファイルをメモ帳で開いても、自分が追加した「秘密」のテキストは表示されず、そのテキストファイルがあったことを知る他の方法はありません。実際、あなたはこのテクニックを使ってほしいことは何でもすることができます。 (完全な説明については、このテーマに関する記事を必ず読んでください).

    これは、Zone.Identifierフィールド内のデータを隠すことによって、Windowsがファイルがインターネットからダウンロードされたことを魔法のように知ることを可能にする手法でもあります。実際には、Streamsユーティリティを使用してこの代替データストリームを削除できます。.

    構文は簡単です - ストリームを表示するには、プロンプトで次のように入力します。

    小川

    もしあれば、 "streams * .exe"またはそのようなものを使用して、隠しストリームデータを含むすべてのファイルを表示することもできます。最も簡単な方法は、ダウンロードディレクトリに移動してそこで実行することです。.

    1つまたは複数のストリームを削除するには、-dオプションを使用します。

    ストリーム-d

    -sオプションを使用してサブディレクトリに再帰的に入ることもできます。.

    SigCheckはデジタル署名されていないファイルを分析します(マルウェアのように)

    この非常に便利なユーティリティは、システム上のファイルのデジタル署名を分析し、それらが有効かどうか、または証明書がないかどうかを確認します。コマンドラインからVirusTotalと比較してファイルをチェックすることもできます。これは、このツールの本当の目的であるマルウェアを見つけることです。.

    通常最も便利な構文は、問題を報告するだけの-uスイッチと、実行可能ファイルだけをチェックする-eスイッチを追加することです。だからあなたはあなたのsystem32ディレクトリをチェックし、そこにあるすべてのファイルがデジタル署名されていることを確認するためにこのような何かを実行することができる。それ以外のものは非常に綿密に調べられるべきです.

    sigcheck -e -u C:\ Windows \ System32

    VirusTotalに対する追加のチェックに-vオプションを使用することもできますが、その利用規約に同意するには、最初に-vtオプションを使用する必要があります。.

    sigcheck -v -vt

    SDeleteは安全にファイルを削除します

    あなたが妄想型なら、いつでも安全にコマンドラインからファイルを消去できることを知って喜んでいただけるでしょう。 sdeleteユーティリティを使用して、DoD準拠の削除プロトコルでファイルを攻撃してください。 (もちろん、NSAはおそらくあなたのファイルのコピーをまだ持っています)。構文は簡単です。

    スデレテ

    代わりに、ドライブの空き領域をきれいにすることができます。 sdelete -c optionは時間がかかりますが、最初にsdeleteを使用してファイルを削除するのを忘れた場合は良い方法です。.

    Contigは1つ以上の個々のファイルを最適化します。

    1つのファイル、またはファイルのリストだけを最適化する場合は、Contigユーティリティを使用してそれを実行できます。もちろん、最近のバージョンのWindowsで自動的にファイルを最適化する必要はありません。また、ソリッドステートドライブを使用している場合は、最適化しないでください。しかし、絶対に、積極的に、単一のファイルをデフラグする必要がある場合、これはそれを実行するためのユーティリティです。構文は簡単です。

    コンティグ

    実際には何もせずにファイルの断片化を分析したい場合は、以下に示すように-aスイッチを使用できます。

    たとえファイルが断片化されていても、ファイルが非常に大きくて数個の大きな断片に分割されているだけであれば、断片化を解消しても本質的に何も得られず.

    duはディスク使用量を表示します

    Windowsエクスプローラで任意のファイルまたはフォルダを右クリックして[プロパティ]を選択するか、Alt + Enterキーのショートカットを使用してファイルまたはフォルダのサイズを確認することができます。しかし、コマンドプロンプトからそのデータを見たい場合はどうしますか?それがduユーティリティが登場するところです、そしてそれはシンボリックリンクされたファイルを数えないのでそれはまたもう少し正確です、そしてそれは同様に代替データストリームをチェックします.

    -nオプションはサブディレクトリに再帰せずに単一のフォルダのみをチェックします。一方、-vオプションは再帰的に表示され、各ディレクトリをリスト内で表示します。-l(n)オプションはnレベルだけチェックします。同様に、-l 2は2レベルの深さをチェックします。.

    PendMovesは次回の再起動時に移動するファイルを表示します

    アプリケーションのインストールによってコンピュータが再起動されるのはなぜだろうと思いましたか。答えは、通常、Windowsの実行中には移動できないファイルを移動したいということです。そのため、再起動時にファイルの移動または削除を処理するWindowsの組み込み機能を使用します。.

    あなたがする必要がある唯一のことはコマンドを実行することです、そしてそれはデータを出力するでしょう。次回の再起動時にProcess ExplorerのコピーがWindowsフォルダーに移動されるようにスケジュールされているのはなぜですか?読む.

    再起動時にMoveFilesがシステムファイルを移動する

    このユーティリティは、組み込みのWindows機能を使用して、ファイルまたはディレクトリの移動、削除、または名前の変更をスケジュールし、Windowsが完全にロードされる前の次の再起動サイクル中に行われるようにします。構文はとても簡単です。

    movefile

    ファイルを削除したい場合は、次のように引用符を使用して空の宛先を使用できます。 移動ファイル“”. 下のスクリーンショットからわかるように、Movefileコマンドを使用して、プロセスエクスプローラのコピーをWindowsディレクトリに移動し、すべてがどのように機能するかを説明します。.

    Junctionがシンボリックリンクを作成する

    Windowsはファイルとフォルダへのシンボリックリンクをサポートしているので、ファイルのコピーを複数作成する代わりに、同じファイルを複数のパスで指定してスペースを節約できます。アイデアはショートカットに似ていますが、これはファイルシステムレベルでNTFSに組み込まれている点が異なります。.

    Junctionユーティリティを使用すると、これらのリンクを簡単に作成および削除できます。それらを削除することもできます。 ジャンクション-d .

    合流点

    しかし現実には、Vista以降のWindowsにはmklinkコマンドでシンボリックリンクを作成する機能があり、代わりにそれを使用することもできます。.

    FindLinksはファイルへのハードリンクを見つける

    この小さなユーティリティは、ファイルを指すすべてのハードリンクを見つけます。ハードリンクはシンボリックリンクとは異なり、1つのハードリンクを削除しても実際にはそのファイルへのハードリンクがある場合はそのファイルは削除されず、すべてのハードリンクを削除するまで削除されます。最後のハードリンクを削除すると、ファイルは削除されます.

    注意:これは実際にはファイルを削除する習慣がある誰かによって特定のファイルが本当に削除されていないことを確認するための興味深い方法です。失くしたくないファイルすべてへのハードリンクを作成するだけです。.

    いずれにしても、このコマンドは簡単に使用できます。

    検索リンク

    唯一の問題は、Windows 7とWindows 8に同じことをする組み込みコマンドがあることです。代わりにこれを使ってください。

    fsutilハードリンクリスト

    注意: 自分のツールキットがないときに他の人のコンピュータで何かをする必要があるときにはわからないので、可能な限り組み込みのものを使用することを学ぶことが常により良いです。.

    DiskViewはディスク構造を表示します

    このユーティリティを使用すると、ハードドライブの構造を詳細に確認できます。また、ファイルを拡大表示してリスト内でハイライト表示することもできます。そのため、ドライブ上の特定のファイルの場所を確認できます。断片化されているかどうかを確認してください。ほとんどの人にとってそれほど便利ではありませんが、うまくいけばそれを使用する必要があるかもしれないシナリオがあります.

    Disk2vhdはPCを仮想ハードドライブに変える

    このユーティリティは、実行中にコンピュータのハードドライブのクローンを作成し、それをすべて仮想マシンで使用できる仮想ハードドライブファイルにまとめます。そしてそれはPCが動いている間これをします.

    そう、あなたはあなたのコンピュータの実行中にあなたのハードドライブの仮想マシンを作成することができます。これは、自分のコンピュータ上でマシンのフォレンジック分析をしたいというシナリオにも非常に役立ちます。代わりにクローンを作成してから仮想マシンとして起動することもできます。.

    Vhdxのオプションは、多くの制限があるVHDファイルフォーマットの代わりに新しいVHDXファイルフォーマットを使うようにDisk2vhdに指示します。デフォルトでは、Disk2vhdは物理ドライブごとに別々のファイルを作成しますが、パーティションを同じファイルに入れます。このVHDファイルを別の仮想マシンにアタッチする場合、または通常のWindowsコンピューターにマウントするだけの場合は、一覧に表示されていないパーティションのチェックを外すことができます。仮想マシンを作ることを計画しているなら、おそらくすべてをチェックしたままにしておくべきです。.

    VHD出力ファイルは実際にはコピーを作成しているのと同じドライブに置くことができますが、可能であれば2つ目のドライブを使用することをお勧めします。.

    PageDefragは廃止されました

    このユーティリティを使用すると、起動中にシステムファイルを最適化できますが、最近のバージョンのWindowsでは機能しないため、スキップしてください。.

    同期はキャッシュされたデータをあなたのディスクに書き込みます

    このユーティリティは、すべてのファイルの変更がドライブに書き込まれ、どこかのバッファに格納されていないことを確認するために、キャッシュされたデータをすべてディスクに同期します。もちろん、フラッシュドライブを引っ張ったときにデータが失われないようにするには、必ず[安全な取り外し]オプションを使用してください。.

    ディスクモニタはリアルタイムのハードドライブアクティビティを表示します

    このユーティリティは、セクタ、読み取り、書き込み、データの長さなど、実際にハードドライブの動作がリアルタイムで表示されることを示しています。唯一の問題は、それがほとんどの人にとってそれほど有用ではないということです。.

    もう少し便利なのは、オプションメニューから選択できるディスク監視「トレイディスクライト」です。このモードを有効にすると、システムトレイに移動して書き込み用に赤、読み取り用に緑に点滅するか、何も起こらないときは灰色のままになります。.

    アイコンだけがWindows 8に少し良く一致すれば.

    VolumeIDはドライブのシリアル番号を変更します

    どのドライブに064B-1E81のようなシリアル番号があるのか​​、それとも同じように興味深いものではないのかに気付いたことがありますか?そのシリアル番号をもっと楽しいものに変更したい場合は、次の構文でVolumeIDユーティリティを使用してそれを行うことができます。

    ボリュームID XXXX〜XXXX

    構文には16進文字を使用する必要があるため、GEEK-1337と入力することはできません。なぜなら、それはうまく機能しないからです。.

    次のレッスン

    明日は、私たちが見逃していた小さなユーティリティのいくつかと、すべてのツールを一緒に使用することに関するガイダンス、そして各ツールをいつ引き出すべきかを見て、シリーズを締めくくります。.