Página principal » colegio » Analizar y administrar sus archivos, carpetas y unidades

    Analizar y administrar sus archivos, carpetas y unidades

    Casi hemos terminado con nuestra serie Geek School en SysInternals tools, y hoy hablaremos sobre todas las utilidades que lo ayudan a manejar archivos y carpetas, ya sea que encuentre datos ocultos o que elimine un archivo de forma segura..

    NAVEGACION ESCOLAR
    1. ¿Qué son las herramientas de SysInternals y cómo las usa??
    2. Entendiendo el Explorador de Procesos
    3. Uso de Process Explorer para solucionar problemas y diagnosticar
    4. Comprensión del monitor de proceso
    5. Uso de Process Monitor para solucionar problemas y encontrar trucos de registro
    6. Uso de Autoruns para lidiar con procesos de inicio y Malware
    7. Uso de BgInfo para mostrar información del sistema en el escritorio
    8. Uso de PsTools para controlar otras PC desde la línea de comandos
    9. Analizar y administrar sus archivos, carpetas y unidades
    10. Envolviendo y usando las herramientas juntas

    Hay bastantes utilidades en el kit de herramientas que se ocupan de todo tipo de cosas relacionadas con archivos o carpetas o para encontrar datos que no sabías que estaban allí, y hay algunos que son un poco tontos. De cualquier manera, los cubriremos a todos..

    Las herramientas relacionadas con archivos más importantes del kit para conocer son probablemente las utilidades Sigcheck y Streams, pero sería prudente leerlas todas cuidadosamente..

    Streams encuentra y muestra streams NTFS ocultos

    La mayoría de las personas no conocen esta función, pero Windows le permitirá almacenar datos dentro de un compartimiento oculto en el sistema de archivos llamado flujos de datos alternativos. Básicamente, esto funciona agregando dos puntos y una clave única al final de un nombre de archivo al interactuar con él.

    Por ejemplo, si quisiera ocultar algunos datos en un archivo, podría hacer algo como eco Secreto> nombre_archivo.txt: hiddenstuff e incluso si abrieras ese archivo de texto en el Bloc de notas, no verías el texto "Secreto" que agregaste, y no habría otra manera de saber que estaba ahí. De hecho, puedes hacer casi cualquier cosa que quieras con esta técnica. (Asegúrese de leer nuestro artículo sobre el tema para la explicación completa).

    Esta es también la técnica que permite a Windows saber mágicamente que los archivos se han descargado de Internet, ocultando datos dentro del campo Zone.Identifier. De hecho, puede eliminar esta secuencia de datos alternativa utilizando la utilidad Streams.

    La sintaxis es simple: para ver las transmisiones, escriba lo siguiente en el indicador:

    arroyos

    También puede usar "streams * .exe" o algo así para ver todos los archivos con datos de stream ocultos, si hay alguno. La forma más rápida de ver algo es dirigirse a su directorio de descargas y ejecutarlo allí.

    Para eliminar una de las secuencias o muchas de ellas, puede usar la opción -d:

    corrientes -d

    También puede usar la opción -s para ir a los subdirectorios recursivamente.

    SigCheck analiza los archivos que no están firmados digitalmente (como el malware)

    Esta utilidad muy útil analiza las firmas digitales de los archivos en su sistema y le dice si son válidos o si faltan un certificado. También puede usarlo para verificar archivos contra VirusTotal desde la línea de comandos, lo cual es conveniente, porque ese es el punto real de esta herramienta, es encontrar malware.

    La sintaxis normal y más útil es agregar el modificador -u, que solo informa los problemas, y el modificador -e, que solo verifica los archivos ejecutables. Por lo tanto, puede ejecutar algo como esto para verificar su directorio system32 y asegurarse de que todos los archivos estén firmados digitalmente. Cualquier otra cosa debe ser examinada muy de cerca.

    sigcheck -e -u C: \ Windows \ System32

    También puede usar la opción -v para una comprobación adicional contra VirusTotal, pero deberá usar la opción -vt la primera vez para aceptar sus términos y condiciones.

    sigcheck -v -vt

    SDelete elimina archivos de forma segura

    Si eres del tipo paranoico, te alegrará saber que puedes borrar los archivos de la línea de comandos en cualquier momento que desees. Simplemente use la utilidad sdelete para modificar el archivo con los protocolos de eliminación compatibles con DoD. (Por supuesto, la NSA probablemente todavía tenga una copia de su archivo). La sintaxis es simple:

    sdelete

    Alternativamente, puede limpiar el espacio libre en un disco usando el sdelete -c opción, que tomará más tiempo, pero es una buena opción si olvidó usar sdelete para eliminar el archivo en primer lugar.

    Contig desfragmenta uno o varios archivos individuales

    Si desea desfragmentar un solo archivo, o una lista de archivos, puede usar la utilidad Contig para hacer eso. Claro, no es necesario desfragmentar los archivos en las versiones modernas de Windows que lo hacen automáticamente. Y sí, si está utilizando una unidad de estado sólido, nunca debe desfragmentar ni necesita hacerlo. Pero si absolutamente, positivamente, debe desfragmentar un solo archivo, esta es la utilidad para hacerlo. La sintaxis es simple:

    contig

    Si desea analizar la fragmentación de un archivo sin hacer nada, puede usar el interruptor -a como se muestra a continuación:

    Vale la pena señalar que incluso si un archivo está fragmentado, si el archivo es muy grande y solo está dividido en algunos fragmentos grandes, no obtendrá prácticamente nada de la desfragmentación y habrá perdido más tiempo molestándolo con el que ahorraría..

    du Muestra el uso del disco

    Siempre puede hacer clic derecho en cualquier archivo o carpeta en el Explorador de Windows y elegir Propiedades, o usar el método abreviado de teclado ALT + ENTRAR para ver el tamaño de un archivo o carpeta. Pero, ¿qué sucede si desea ver esos datos desde el símbolo del sistema? Ahí es donde entra en juego la utilidad du, y también es un poco más preciso porque no cuenta los archivos vinculados simbólicamente, y también verifica flujos de datos alternativos.

    La opción -n solo verifica una sola carpeta, sin recurrir a subdirectorios, mientras que la opción -v recuenta y también muestra cada directorio a medida que avanza en la lista, y la opción -l (n) solo comprueba los niveles "n". Como en, -l 2 comprobaría 2 niveles de profundidad..

    PendMoves muestra archivos que se mueven en el próximo reinicio

    ¿Alguna vez te has preguntado por qué las instalaciones de aplicaciones te hacen reiniciar tu computadora? Por lo general, la respuesta es que desean mover algunos archivos que no se pueden mover mientras Windows se está ejecutando, por lo que usan una función integrada de Windows que se encarga de mover o eliminar archivos al reiniciar..

    Lo único que debe hacer es ejecutar el comando, y esto generará los datos. ¿Por qué está programada una copia de Process Explorer para moverse a la carpeta de Windows en el próximo reinicio? Sigue leyendo.

    MoveFiles mueve archivos de sistema cuando reinicia

    Esta utilidad utiliza la función de Windows incorporada para programar un traslado, eliminación o cambio de nombre de un archivo o directorio para que ocurra durante el próximo ciclo de reinicio, antes de que Windows esté completamente cargado. La sintaxis es realmente simple:

    mover archivo

    Si desea eliminar un archivo, puede usar un destino vacío utilizando comillas, como movefile “”. Como puede ver en la captura de pantalla a continuación, usamos el comando Movefile para programar una copia del explorador de procesos que se moverá al directorio de Windows para ilustrar cómo funciona todo.

    Cruce crea enlaces simbólicos

    Windows admite enlaces simbólicos para archivos y carpetas, por lo que puede tener más de un punto de ruta al mismo archivo para ahorrar espacio en lugar de tener varias copias de un archivo. La idea es similar a los accesos directos, excepto que esto está en el nivel del sistema de archivos y está integrado en NTFS.

    La utilidad Junction le permite crear y eliminar estos enlaces fácilmente. También puedes borrarlos usando cruce -d .

    unión

    La realidad, sin embargo, es que Windows desde Vista ha tenido la capacidad de crear enlaces simbólicos con el comando mklink, y también puedes usar ese..

    FindLinks encuentra enlaces duros a archivos

    Esta pequeña utilidad encuentra todos los enlaces duros que apuntan a un archivo. Los enlaces duros son diferentes de los enlaces simbólicos, ya que eliminar un enlace duro no elimina realmente el archivo si hay más enlaces duros a ese archivo, solo parece que lo elimine hasta que haya eliminado todos los enlaces duros. Una vez que elimines el enlace duro final, el archivo se eliminará.

    Nota: esta podría ser una forma interesante de asegurarse de que un archivo en particular no sea eliminado por alguien que tenga la costumbre de eliminar archivos. Simplemente cree un enlace fijo a todos los archivos que no quiere que pierdan.

    En cualquier caso, puedes usar este comando fácilmente:

    encontrar enlaces

    El único problema es que Windows 7 y 8 tienen un comando incorporado que hace lo mismo. Use este en su lugar:

    lista de enlaces físicos de fsutil

    Nota: Siempre es mejor aprender a usar las cosas integradas cuando sea posible, porque nunca se sabe cuándo tendrá que hacer algo en la computadora de otra persona cuando no tenga su kit de herramientas..

    DiskView muestra la estructura del disco

    Esta utilidad le permite ver la estructura de su disco duro con gran detalle, e incluso puede hacer zoom y seleccionar un archivo para resaltar en la lista, de modo que pueda ver dónde se encuentra un archivo en particular en la unidad, y también Ver si está fragmentado o no. No es terriblemente útil para la mayoría de las personas, pero es de esperar que tenga un escenario en el que podría necesitar usarlo.

    Disk2vhd convierte PC en discos duros virtuales

    Esta utilidad crea un clon del disco duro de su computadora mientras se está ejecutando, y lo agrupa todo en un archivo de disco duro virtual que se puede usar en una máquina virtual. Y lo hace mientras se ejecuta la PC..

    Así es, puedes crear una máquina virtual de tu disco duro mientras tu computadora está funcionando. Esto también podría ser de gran ayuda para los escenarios en los que desea realizar un análisis forense de una máquina pero en su propia computadora: puede crear un clon y luego iniciarlo como una máquina virtual..

    La opción para Vhdx le dice a Disk2vhd que use el formato de archivo VHDX más nuevo en lugar del formato de archivo VHD, que tenía varias limitaciones. Por defecto, Disk2vhd creará archivos separados para cada unidad física, pero colocará las particiones en el mismo archivo. Si simplemente planea adjuntar este archivo VHD a otra máquina virtual, o si simplemente lo monta en una computadora con Windows, puede desactivar las particiones que no necesita en la lista. Si planea hacer una máquina virtual con él, probablemente debería dejar todo revisado..

    El archivo de salida VHD puede colocarse en la misma unidad de la que está haciendo una copia, pero le recomendamos que utilice una segunda unidad, si es posible, para que todo vaya más rápido..

    PageDefrag es obsoleto

    Esta utilidad le permitió desfragmentar los archivos del sistema durante el inicio, pero como no funciona en las versiones recientes de Windows, debe omitirla..

    La sincronización escribe datos en caché en su disco

    Esta utilidad simplemente sincroniza todos los datos almacenados en caché en el disco para asegurarse de que todos los cambios de archivos se escriban en la unidad y no se almacenen en algún búfer en algún lugar. Por supuesto, debe usar la opción Quitar de forma segura cada vez que quiera asegurarse de no perder datos cuando extraiga una unidad flash..

    Monitor de disco le muestra la actividad del disco duro en tiempo real

    Esta utilidad muestra la actividad real del disco duro en tiempo real: sectores, lecturas, escrituras, la longitud de los datos, todo está allí. El único problema es que no es muy útil para la mayoría de las personas.

    Lo que es un poco más útil, tal vez, es el control de disco "Tray Disk Light" que puede elegir en el menú Opciones. Una vez que habilite ese modo, se moverá a la bandeja del sistema y parpadeará en rojo para las escrituras, en verde para las lecturas, o permanecerá en gris cuando no ocurra nada.

    Si tan solo el icono coincida con Windows 8 un poco mejor.

    VolumeID cambia el número de serie de la unidad

    ¿Alguna vez has notado que cada unidad tiene un número de serie que parece 064B-1E81 o algo que no es interesante? Si desea cambiar ese número de serie a algo más divertido, puede hacerlo utilizando la utilidad VolumeID con esta sintaxis:

    volumeid XXXX-XXXX

    Tenga en cuenta que la sintaxis requiere el uso de caracteres hexadecimales, por lo que no puede escribir GEEK-1337 como lo hicimos nosotros, porque simplemente no funcionará..

    Siguiente lección

    Mañana vamos a terminar la serie con una mirada a algunas de las pequeñas utilidades que perdimos, así como algunas pautas sobre cómo usar todas las herramientas juntas, y cuándo debe sacar cada una de ellas..