Kami hampir selesai dengan seri Sekolah Geek kami pada alat SysInternals, dan hari ini kita akan berbicara tentang semua utilitas yang membantu Anda menangani file dan folder - apakah Anda menemukan data tersembunyi atau menghapus file dengan aman.
NAVIGASI SEKOLAHAda beberapa utilitas dalam toolkit yang berhubungan dengan segala macam hal yang berhubungan dengan file atau folder atau menemukan data yang tidak Anda ketahui ada di sana, dan ada beberapa yang sedikit di sisi konyol. Either way, kita akan menutupi semuanya.
Alat-alat terkait file yang paling penting dalam kit untuk mengetahui mungkin adalah Sigcheck dan Streams utilitas, tetapi akan lebih bijaksana untuk membaca semua mereka dengan hati-hati.
Kebanyakan orang tidak tahu tentang fitur ini, tetapi Windows akan membiarkan Anda menyimpan data di dalam kompartemen tersembunyi di sistem file yang disebut aliran data alternatif. Ini pada dasarnya berfungsi dengan menambahkan tanda titik dua dan kunci unik ke akhir nama file ketika berinteraksi dengannya.
Misalnya, jika Anda ingin menyembunyikan beberapa data dalam file, Anda dapat melakukan sesuatu sepertiecho Secret> filename.txt: hiddenstuffdan bahkan jika Anda membuka file teks itu di Notepad, Anda tidak akan melihat teks "Rahasia" yang Anda tambahkan, dan tidak akan ada cara lain untuk mengetahui bahwa itu bahkan ada di sana. Bahkan, Anda dapat melakukan hampir semua hal yang Anda inginkan menggunakan teknik ini. (Pastikan untuk membaca artikel kami tentang subjek untuk penjelasan lengkap).
Ini juga merupakan teknik yang memungkinkan Windows secara ajaib mengetahui bahwa file telah diunduh dari internet, dengan menyembunyikan data di dalam bidang Zone.Identifier. Bahkan, Anda dapat menghapus aliran data alternatif ini menggunakan utilitas Streaming.
Sintaksnya sederhana - untuk melihat aliran, ketik perintah berikut pada prompt:
aliran
Anda juga dapat menggunakan "streams * exe" atau sesuatu seperti itu untuk melihat semua file dengan data stream tersembunyi, jika ada. Cara tercepat untuk melihat sesuatu adalah masuk ke direktori unduhan Anda dan jalankan di sana.
Untuk menghapus salah satu aliran atau banyak dari mereka, Anda dapat menggunakan opsi -d:
streaming -d
Anda juga dapat menggunakan opsi -s untuk masuk ke subdirektori secara rekursif.
Utilitas yang sangat berguna ini menganalisis tanda tangan digital file di sistem Anda dan memberi tahu Anda apakah mereka valid atau tidak memiliki sertifikat. Anda juga dapat menggunakannya untuk memeriksa file terhadap VirusTotal dari baris perintah, yang nyaman, karena itulah tujuan sebenarnya dari alat ini, adalah menemukan malware.
Sintaks normal dan paling berguna adalah menambahkan tombol -u, yang hanya melaporkan masalah, dan tombol -e, yang hanya memeriksa file yang dapat dieksekusi. Jadi Anda bisa menjalankan sesuatu seperti ini untuk memeriksa direktori system32 Anda dan memastikan bahwa semua file di sana ditandatangani secara digital. Yang lain harus diperiksa dengan cermat.
sigcheck -e -u C: \ Windows \ System32
Anda juga dapat menggunakan opsi -v untuk pemeriksaan tambahan terhadap VirusTotal, tetapi Anda harus menggunakan opsi -vt saat pertama kali menerima persyaratan dan ketentuan mereka.
sigcheck -v -vt
Jika Anda adalah tipe paranoid, Anda akan senang mengetahui bahwa Anda dapat menghapus file dengan aman dari baris perintah kapan saja Anda mau. Cukup gunakan utilitas sdelete untuk mendongkrak file dengan protokol penghapusan yang mematuhi DOD. (Tentu saja NSA mungkin masih memiliki salinan file Anda). Sintaksnya sederhana:
sdelete
Anda dapat alternatif membersihkan ruang kosong pada drive dengan menggunakansdelete -cpilihan, yang akan memakan waktu lebih lama, tetapi merupakan pilihan yang baik jika Anda lupa menggunakan sdelete untuk menghapus file di tempat pertama.
Jika Anda ingin men-defragmen hanya satu file tunggal, atau daftar file, Anda dapat menggunakan utilitas Contig untuk melakukan hal itu. Tentu, Anda tidak perlu melakukan defragment file di Windows versi modern yang melakukannya secara otomatis. Dan ya, jika Anda menggunakan hard disk solid state, Anda seharusnya tidak pernah melakukan defragment atau yang Anda perlukan. Tetapi jika Anda benar-benar, secara positif, harus men-defragmen satu file, ini adalah utilitas untuk melakukannya. Sintaksnya sederhana:
contig
Jika Anda ingin menganalisis fragmentasi file tanpa benar-benar melakukan apa pun, Anda dapat menggunakan tombol -a seperti yang ditunjukkan di bawah ini:
Perlu dicatat bahwa bahkan jika file terfragmentasi, jika file sangat besar dan hanya dipecah menjadi beberapa bagian besar, Anda tidak akan mendapatkan apa pun dari defragmenting dan akan menghabiskan lebih banyak waktu dengan itu daripada yang Anda simpan.
Anda selalu dapat mengklik kanan file atau folder apa pun di Windows Explorer dan memilih Properties, atau menggunakan pintasan keyboard ALT + ENTER untuk melihat ukuran file atau folder. Tetapi bagaimana jika Anda ingin melihat data tersebut dari command prompt? Di situlah utilitas du masuk, dan itu juga sedikit lebih akurat karena tidak menghitung file yang terhubung simbolik, dan itu memeriksa aliran data alternatif juga.
Opsi -n hanya memeriksa satu folder, tanpa berulang ke dalam subdirektori, sedangkan opsi -v melakukan rekursi dan juga menampilkan setiap direktori saat melewati daftar, dan opsi -l (n) hanya memeriksa tingkat "n" dalam.Seperti dalam, -l 2 akan memeriksa 2 level.
Pernahkah Anda bertanya-tanya mengapa pemasangan aplikasi membuat Anda me-reboot komputer? Jawabannya adalah biasanya mereka ingin memindahkan beberapa file di sekitar yang tidak dapat dipindahkan ketika Windows sedang berjalan, jadi mereka menggunakan fitur Windows built-in yang menangani memindahkan atau menghapus file saat reboot.
Satu-satunya hal yang perlu Anda lakukan adalah menjalankan perintah, dan ia akan menampilkan data. Mengapa salinan Process Explorer dijadwalkan untuk pindah ke folder Windows pada reboot berikutnya? Baca terus.
Utilitas ini menggunakan fitur Windows bawaan untuk menjadwalkan pemindahan, penghapusan, atau penggantian nama file atau direktori sehingga akan terjadi selama siklus reboot berikutnya, sebelum Windows dimuat penuh. Sintaksnya sangat sederhana:
memindahkan file
Jika Anda ingin menghapus file, Anda dapat menggunakan tujuan kosong dengan menggunakan tanda kutip, sepertimovefile “”.Seperti yang Anda lihat pada gambar di bawah, kami menggunakan perintah Movefile untuk menjadwalkan salinan proses explorer untuk dipindahkan ke direktori Windows untuk mengilustrasikan cara kerjanya.
Windows mendukung tautan simbolik untuk file dan folder, sehingga Anda dapat memiliki lebih dari satu titik jalur ke file yang sama untuk menghemat ruang daripada memiliki banyak salinan file. Idenya mirip dengan cara pintas, kecuali ini pada tingkat sistem file dan dibangun ke NTFS.
Utilitas Junction memungkinkan Anda untuk membuat dan menghapus tautan ini dengan mudah. Anda juga dapat menghapusnya menggunakanpersimpangan-d.
persimpangan jalan
Kenyataannya, bagaimanapun, adalah bahwa Windows sejak Vista memiliki kemampuan untuk membuat symlink dengan perintah mklink, dan Anda juga dapat menggunakan yang itu saja.
Utilitas kecil ini menemukan semua tautan keras yang menunjuk ke file. Tautan keras berbeda dari tautan simbolik dalam menghapus satu tautan keras tidak benar-benar menghapus file jika ada lebih banyak tautan keras ke file itu, itu hanya tampak menghapusnya sampai Anda telah menghapus semua tautan keras. Setelah Anda menghapus tautan keras terakhir, file tersebut akan dihapus.
Catatan: ini sebenarnya bisa menjadi cara yang menarik untuk memastikan bahwa file tertentu tidak benar-benar dihapus oleh seseorang yang memiliki kebiasaan menghapus file. Cukup buat tautan keras ke semua file yang Anda tidak ingin mereka kehilangan.
Bagaimanapun, Anda dapat menggunakan perintah ini cukup mudah:
findlinks
Satu-satunya masalah adalah Windows 7 dan 8 memiliki perintah built-in yang melakukan hal yang sama. Gunakan ini sebagai gantinya:
daftar fsutil hardlink
catatan:Itu selalu lebih baik untuk belajar menggunakan hal-hal built-in bila mungkin, karena Anda tidak pernah tahu kapan Anda harus melakukan sesuatu di komputer orang lain ketika Anda tidak memiliki toolkit Anda.
Utilitas ini memungkinkan Anda untuk melihat struktur hard drive Anda dengan sangat detail, dan Anda bahkan dapat memperbesar semua jalan dan memilih file untuk disorot dalam daftar, sehingga Anda dapat melihat di mana file tertentu berada di drive, dan juga lihat apakah itu terfragmentasi atau tidak. Ini tidak terlalu berguna bagi kebanyakan orang, tetapi mudah-mudahan Anda punya skenario di mana Anda mungkin perlu menggunakannya.
Utilitas ini menciptakan tiruan dari hard drive komputer Anda ketika sedang berjalan, dan membundelnya ke dalam file Hard Drive Virtual yang dapat digunakan dalam mesin virtual. Dan ini dilakukan saat PC sedang berjalan.
Itu benar, Anda dapat membuat mesin virtual dari hard drive Anda saat komputer Anda sedang berjalan. Ini juga bisa sangat membantu untuk skenario di mana Anda ingin melakukan beberapa analisis forensik mesin tetapi pada komputer Anda sendiri - Anda bisa membuat klon dan kemudian boot sebagai mesin virtual sebagai gantinya.
Opsi untuk Vhdx memberitahu Disk2vhd untuk menggunakan format file VHDX yang lebih baru daripada format file VHD, yang memiliki sejumlah keterbatasan. Secara default Disk2vhd akan membuat file terpisah untuk setiap drive fisik, tetapi memasukkan partisi ke file yang sama. Jika Anda hanya berencana untuk melampirkan file VHD ini ke mesin virtual lain, atau bahkan hanya memasangnya di komputer Windows biasa, Anda dapat menghapus centang pada partisi yang tidak Anda perlukan dalam daftar. Jika Anda berencana untuk membuat mesin virtual dari itu, Anda mungkin harus meninggalkan semuanya diperiksa.
File output VHD sebenarnya dapat ditempatkan ke drive yang sama yang Anda buat salinannya, tetapi kami akan merekomendasikan menggunakan drive kedua jika mungkin hanya untuk membuatnya lebih cepat.
Utilitas ini memungkinkan Anda untuk men-defragmen file sistem saat boot, tetapi karena tidak berfungsi pada Windows versi terbaru, Anda harus melewatinya.
Utilitas ini hanya menyinkronkan semua data cache ke disk untuk memastikan semua perubahan file ditulis ke drive dan tidak disimpan di beberapa buffer di suatu tempat. Tentu saja, Anda harus menggunakan opsi Hapus Aman setiap kali jika Anda ingin memastikan Anda tidak akan kehilangan data saat menarik flash drive.
Utilitas ini menunjukkan aktivitas hard drive yang sebenarnya terjadi secara real time - sektor, membaca, menulis, panjang data, semuanya ada di sana. Satu-satunya masalah adalah bahwa itu tidak terlalu berguna bagi kebanyakan orang.
Apa yang sedikit lebih bermanfaat, mungkin, adalah pemantauan disk “Tray Disk Light” yang dapat Anda pilih dari menu Opsi. Setelah Anda mengaktifkan mode itu, ia akan pindah ke baki sistem dan berkedip merah untuk menulis, hijau untuk dibaca, atau tetap abu-abu ketika tidak ada yang terjadi.
Jika hanya ikon yang cocok dengan Windows 8 sedikit lebih baik.
Pernahkah Anda memperhatikan bagaimana setiap drive memiliki nomor seri yang terlihat seperti 064B-1E81 atau sesuatu yang sama sekali tidak menarik? Jika Anda ingin mengubah nomor seri itu menjadi sesuatu yang lebih menyenangkan, Anda dapat melakukannya dengan menggunakan utilitas VolumeID dengan sintaks ini:
volume XXXX-XXXX
Harap dicatat bahwa sintaks memerlukan menggunakan karakter heksadesimal, sehingga Anda tidak dapat mengetik di GEEK-1337 seperti yang kami lakukan, karena itu tidak akan berfungsi.
Besok kita akan menyelesaikan seri dengan melihat beberapa utilitas kecil yang kita lewatkan, serta beberapa panduan tentang menggunakan semua alat bersama-sama, dan kapan Anda harus mengeluarkan setiap alat.
