Analyse et gestion de vos fichiers, dossiers et lecteurs
Nous avons presque terminé notre série Geek School sur les outils SysInternals. Aujourd'hui, nous allons parler de tous les utilitaires qui vous aident à gérer les fichiers et les dossiers - que vous trouviez des données cachées ou que vous supprimiez un fichier en toute sécurité..
NAVIGATION SCOLAIRE- Quels sont les outils SysInternals et comment les utilisez-vous??
- Comprendre Process Explorer
- Utilisation de Process Explorer pour résoudre et diagnostiquer
- Comprendre le moniteur de processus
- Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
- Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
- Utilisation de BgInfo pour afficher des informations système sur le bureau
- Utilisation de PsTools pour contrôler d’autres PC à partir de la ligne de commande
- Analyse et gestion de vos fichiers, dossiers et lecteurs
- Récapitulation et utilisation des outils ensemble
La boîte à outils contient de nombreux utilitaires qui traitent de toutes sortes de choses liées aux fichiers ou aux dossiers ou à la recherche de données dont vous ignoriez l'existence, et quelques-uns sont un peu ridicules. De toute façon, nous allons tous les couvrir.
Les outils les plus importants du kit à connaître sont probablement les utilitaires Sigcheck et Streams, mais il serait sage de les lire attentivement..
Streams recherche et affiche les flux NTFS masqués
La plupart des gens ne connaissent pas cette fonctionnalité, mais Windows vous permet de stocker des données dans un compartiment caché du système de fichiers appelé flux de données alternatifs. Cela fonctionne essentiellement en ajoutant deux points et une clé unique à la fin d'un nom de fichier lors de son interaction avec celui-ci..
Par exemple, si vous voulez cacher des données dans un fichier, vous pouvez faire quelque chose comme: echo Secret> nom_fichier.txt: hiddenstuff et même si vous ouvriez ce fichier texte dans le Bloc-notes, vous ne verriez pas le texte «Secret» que vous avez ajouté et il n'y aurait aucun autre moyen de savoir qu'il était même là. En fait, vous pouvez faire presque tout ce que vous voulez en utilisant cette technique. (Assurez-vous de lire notre article sur le sujet pour une explication complète).
C'est également la technique qui permet à Windows de savoir comme par magie que des fichiers ont été téléchargés à partir d'Internet en masquant des données à l'intérieur du champ Zone.Identifier. En fait, vous pouvez supprimer cet autre flux de données à l'aide de l'utilitaire Streams..
La syntaxe est simple: pour voir les flux, tapez ce qui suit à l'invite:
ruisseaux
Vous pouvez également utiliser «streams * .exe» ou quelque chose du genre pour voir tous les fichiers contenant des données de flux cachées, le cas échéant. Le moyen le plus rapide de voir quelque chose est d'entrer dans votre répertoire de téléchargements et de l'exécuter là-bas..
Pour supprimer un ou plusieurs flux, vous pouvez utiliser l'option -d:
flux -d
Vous pouvez également utiliser l'option -s pour aller dans les sous-répertoires de manière récursive..
SigCheck analyse les fichiers non signés numériquement (comme les logiciels malveillants)
Cet utilitaire très utile analyse les signatures numériques de fichiers sur votre système et vous indique si elles sont valides ou si un certificat est manquant. Vous pouvez également l'utiliser pour vérifier la conformité des fichiers avec VirusTotal à partir de la ligne de commande, ce qui est pratique, car c'est le véritable intérêt de cet outil: la recherche de programmes malveillants..
La syntaxe normale et la plus utile consiste à ajouter le commutateur -u, qui ne signale que les problèmes, et le commutateur -e, qui vérifie uniquement les fichiers exécutables. Ainsi, vous pouvez exécuter quelque chose comme ceci pour vérifier votre répertoire system32 et vous assurer que tous les fichiers qui y figurent sont signés numériquement. Tout le reste devrait être examiné de très près.
sigcheck -e -u C: \ Windows \ System32
Vous pouvez également utiliser l'option -v pour une vérification supplémentaire de VirusTotal, mais vous devrez utiliser l'option -vt la première fois pour accepter leurs conditions d'utilisation..
sigcheck -v -vt
SDelete supprime les fichiers en toute sécurité
Si vous êtes du type paranoïaque, sachez que vous pouvez effacer en toute sécurité des fichiers de la ligne de commande à tout moment. Utilisez simplement l’utilitaire sdelete pour cogner le fichier avec les protocoles de suppression compatibles DoD. (Bien sûr, la NSA a probablement toujours une copie de votre dossier). La syntaxe est simple:
supprimer
Vous pouvez également nettoyer l’espace libre sur un lecteur à l’aide de la touche sdelete -c option, qui prendra plus de temps, mais est une bonne option si vous avez oublié d'utiliser sdelete pour supprimer le fichier en premier lieu.
Contig défragmente un ou plusieurs fichiers individuels
Si vous souhaitez défragmenter un seul fichier ou une liste de fichiers, vous pouvez utiliser l'utilitaire Contig pour le faire. Bien sûr, vous n'avez pas vraiment besoin de défragmenter les fichiers dans les versions modernes de Windows qui le font automatiquement. Et oui, si vous utilisez un lecteur à état solide, vous ne devez jamais défragmenter ni en avoir besoin. Mais si vous devez absolument défragmenter un seul fichier, c’est l’utilitaire pour le faire. La syntaxe est simple:
contig
Si vous souhaitez analyser la fragmentation d'un fichier sans rien faire, vous pouvez utiliser le commutateur -a comme indiqué ci-dessous:
Il convient de noter que même si un fichier est fragmenté, si le fichier est très volumineux et ne contient que quelques fragments volumineux, vous ne gagnerez essentiellement rien en défragmentant et vous aurez perdu plus de temps à le perdre que vous n'auriez économisé..
du Shows Utilisation du disque
Vous pouvez toujours cliquer avec le bouton droit de la souris sur un fichier ou un dossier de l'Explorateur Windows et choisir Propriétés, ou utiliser le raccourci clavier ALT + ENTRÉE pour voir la taille d'un fichier ou d'un dossier. Mais que faire si vous voulez voir ces données à partir de l'invite de commande? C'est là qu'intervient l'utilitaire du, mais il est aussi un peu plus précis car il ne compte pas les fichiers liés symboliquement, et il vérifie également les flux de données alternatifs..
L'option -n ne vérifie qu'un seul dossier, sans récursir dans les sous-répertoires, tandis que l'option -v effectue une récursion et affiche également chaque répertoire au fur et à mesure de son passage dans la liste, et l'option -l (n) vérifie uniquement «n» niveaux. Comme dans, -2 vérifie 2 niveaux de profondeur.
PendMoves affiche les fichiers en mouvement au prochain redémarrage
Vous êtes-vous déjà demandé pourquoi les installations d'applications vous obligent à redémarrer votre ordinateur? La réponse est généralement qu'ils souhaitent déplacer certains fichiers qui ne peuvent pas être déplacés lorsque Windows est en cours d'exécution. Ils utilisent donc une fonctionnalité Windows intégrée qui gère le déplacement ou la suppression de fichiers au redémarrage..
La seule chose que vous devez faire est d’exécuter la commande, qui produira les données. Pourquoi une copie de Process Explorer doit-elle être déplacée dans le dossier Windows lors du prochain redémarrage? Continuer à lire.
MoveFiles déplace les fichiers système lorsque vous redémarrez
Cet utilitaire utilise la fonctionnalité Windows intégrée pour planifier le déplacement, la suppression ou le changement de nom d'un fichier ou d'un répertoire afin que cela se produise au cours du prochain cycle de redémarrage, avant que Windows ne soit complètement chargé. La syntaxe est vraiment simple:
movefile
Si vous souhaitez supprimer un fichier, vous pouvez utiliser une destination vide en utilisant des guillemets, comme movefile “”. Comme vous pouvez le voir dans la capture d'écran ci-dessous, nous avons utilisé la commande Movefile pour planifier le transfert d'une copie de l'explorateur de processus dans le répertoire Windows afin d'illustrer son fonctionnement..
La jonction crée des liens symboliques
Windows prend en charge les liens symboliques pour les fichiers et les dossiers, de sorte que plusieurs chemins puissent être dirigés vers le même fichier afin d'économiser de l'espace au lieu de disposer de plusieurs copies d'un fichier. L'idée est similaire aux raccourcis, sauf que c'est au niveau du système de fichiers et intégré à NTFS..
L'utilitaire Junction vous permet de créer et de supprimer facilement ces liens. Vous pouvez également les supprimer en utilisant jonction -d .
jonction
La réalité, toutefois, est que Windows depuis Vista permet de créer des liens symboliques avec la commande mklink. Vous pouvez également utiliser celui-ci à la place..
FindLinks trouve des liens physiques vers des fichiers
Ce petit utilitaire trouve tous les liens matériels pointant vers un fichier. Les liens physiques sont différents des liens symboliques en ce que la suppression d'un lien physique ne supprime pas réellement le fichier s'il existe d'autres liens physiques vers ce fichier. Il semble simplement le supprimer jusqu'à ce que vous ayez supprimé tous les liens matériels. Une fois que vous supprimez le dernier lien physique, le fichier sera supprimé..
Remarque: cela pourrait en fait être un moyen intéressant de s’assurer qu’un fichier particulier n’est pas réellement supprimé par quelqu'un qui a l'habitude de supprimer des fichiers. Créez simplement un lien dur vers tous les fichiers que vous ne voulez pas qu'ils perdent.
Dans tous les cas, vous pouvez utiliser cette commande assez facilement:
liens de recherche
Le seul problème est que Windows 7 et 8 ont une commande intégrée qui fait la même chose. Utilisez celui-ci à la place:
liste de liens durs fsutil
Remarque: Il est toujours préférable d'apprendre à utiliser les éléments intégrés lorsque cela est possible, car vous ne savez jamais quand vous devrez faire quelque chose sur l'ordinateur de quelqu'un d'autre lorsque vous ne disposez pas de votre boîte à outils..
DiskView affiche la structure du disque
Cet utilitaire vous permet de voir la structure de votre disque dur de manière très détaillée. Vous pouvez même effectuer un zoom avant et sélectionner un fichier à mettre en surbrillance dans la liste afin de voir où se trouve un fichier particulier sur le lecteur. voir si elle est fragmentée ou non. Ce n'est pas très utile pour la plupart des gens, mais j'espère que vous aurez un scénario où vous pourriez avoir besoin de l'utiliser.
Disk2vhd Transforme les PC en disques durs virtuels
Cet utilitaire crée un clone du disque dur de votre ordinateur lorsqu'il est en cours d'exécution et le regroupe dans un fichier de disque dur virtuel pouvant être utilisé sur une machine virtuelle. Et cela pendant que le PC est en marche.
C'est vrai, vous pouvez créer une machine virtuelle de votre disque dur pendant que votre ordinateur est en marche. Cela pourrait également s'avérer très utile pour les scénarios dans lesquels vous souhaitez effectuer une analyse médico-légale d'une machine mais sur votre propre ordinateur: vous pouvez simplement créer un clone, puis le démarrer en tant que machine virtuelle..
L'option pour Vhdx indique à Disk2vhd d'utiliser le nouveau format de fichier VHDX au lieu du format de fichier VHD, qui comportait un certain nombre de limitations. Par défaut, Disk2vhd crée des fichiers distincts pour chaque lecteur physique, mais place des partitions dans le même fichier. Si vous envisagez simplement de joindre ce fichier VHD à une autre machine virtuelle, ou même de le monter sur un ordinateur Windows standard, vous pouvez décocher les partitions dont vous n'avez pas besoin dans la liste. Si vous envisagez de créer une machine virtuelle, vous devriez probablement tout laisser coché..
Le fichier de sortie VHD peut en réalité être placé sur le même lecteur que celui que vous copiez, mais nous vous recommandons d’utiliser un deuxième lecteur si possible, juste pour accélérer les choses..
PageDefrag est obsolète
Cet utilitaire vous a permis de défragmenter les fichiers système au démarrage, mais comme il ne fonctionne pas sur les versions récentes de Windows, vous devez l'ignorer..
Sync écrit les données mises en cache sur votre disque
Cet utilitaire synchronise simplement toutes les données mises en cache sur le disque pour s'assurer que toutes les modifications de fichier sont écrites sur le lecteur et non stockées quelque part dans une mémoire tampon. Bien sûr, vous devez utiliser l'option Supprimer en toute sécurité à chaque fois si vous voulez être sûr de ne pas perdre de données lorsque vous tirez un lecteur flash..
Disk Monitor vous montre l'activité du disque dur en temps réel
Cet utilitaire affiche l'activité réelle du disque dur en temps réel: secteurs, lectures, écritures, longueur des données, tout y est. Le seul problème est que ce n'est pas très utile pour la plupart des gens.
Ce qui est un peu plus utile, peut-être, est la surveillance de disque «Tray Disk Light» que vous pouvez choisir dans le menu Options. Une fois que vous avez activé ce mode, il se déplacera dans la barre d'état système et clignotera en rouge pour les écritures, vert pour les lectures ou restera gris lorsqu'il ne se passe rien..
Si seulement l'icône correspond à Windows 8 un peu mieux.
VolumeID Modifie le numéro de série du lecteur
Avez-vous déjà remarqué que chaque disque a un numéro de série qui ressemble à 064B-1E81 ou quelque chose d'aussi inintéressant? Si vous voulez changer ce numéro de série en quelque chose de plus amusant, vous pouvez le faire en utilisant l'utilitaire VolumeID avec cette syntaxe:
volumeid XXXX-XXXX
Veuillez noter que la syntaxe nécessite l'utilisation de caractères hexadécimaux. Vous ne pouvez donc pas taper GEEK-1337 comme nous, car cela ne fonctionnera tout simplement pas..
Prochaine leçon
Demain, nous allons terminer la série en examinant quelques-uns des petits utilitaires que nous avons manqués, ainsi que des indications sur l’utilisation conjointe de tous les outils, et sur la date à laquelle vous devriez extraire chaque outil..