الصفحة الرئيسية » مدرسة » تحليل وإدارة الملفات والمجلدات ومحركات الأقراص

    تحليل وإدارة الملفات والمجلدات ومحركات الأقراص

    انتهينا تقريبًا من سلسلة مدارس Geek على أدوات SysInternals ، وسنتحدث اليوم عن جميع الأدوات المساعدة التي تساعدك على التعامل مع الملفات والمجلدات - سواء كنت تبحث عن بيانات مخفية أو تحذف ملفًا بشكل آمن.

    ملاحة المدرسة
    1. ما هي أدوات SysInternals وكيف يمكنك استخدامها?
    2. فهم عملية إكسبلورر
    3. باستخدام عملية اكسبلورر لاستكشاف وتشخيص
    4. فهم عملية المراقبة
    5. باستخدام عملية مراقبة لاستكشاف واكتشاف هاك التسجيل
    6. استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
    7. استخدام BgInfo لعرض معلومات النظام على سطح المكتب
    8. باستخدام PsTools للسيطرة على أجهزة الكمبيوتر الأخرى من سطر الأوامر
    9. تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
    10. التفاف واستخدام الأدوات معا

    هناك عدد غير قليل من الأدوات المساعدة في مجموعة الأدوات التي تتعامل مع جميع أنواع الأشياء التي ترتبط بالملفات أو المجلدات أو العثور على البيانات التي لم تكن تعرف وجودها ، وهناك عدد قليل منها في الجانب السخيف. في كلتا الحالتين ، سنقوم بتغطيتها جميعًا.

    من أهم الأدوات المتعلقة بالملف في المجموعة هي على الأرجح أدوات Sigcheck و Streams ، لكن من الحكمة أن تقرأها بعناية.

    تيارات يجد ويعرض مخفي NTFS تيارات

    لا يعرف معظم الأشخاص عن هذه الميزة ، ولكن يسمح لك Windows بتخزين البيانات داخل مقصورة مخفية في نظام الملفات تدعى تدفقات البيانات البديلة. يعمل هذا بشكل أساسي عن طريق إلحاق النقطتين ومفتاح فريد لنهاية اسم الملف عند التفاعل معه.

    على سبيل المثال ، إذا أردت إخفاء بعض البيانات في ملف ، فيمكنك فعل شيء ما صدى السرية> filename.txt: hiddenstuff وحتى إذا قمت بفتح هذا الملف النصي في "المفكرة" ، فلن ترى النص "السري" الذي أضفته ، ولن تكون هناك طريقة أخرى لمعرفة أنه كان هناك حتى. في الواقع ، يمكنك القيام بأي شيء تريده باستخدام هذه التقنية. (تأكد من قراءة مقالتنا حول الموضوع للحصول على شرح كامل).

    هذا هو أيضًا الأسلوب الذي يسمح لـ Windows بأن يعرف بطريقة سحرية أنه قد تم تنزيل الملفات من الإنترنت ، عن طريق إخفاء البيانات داخل حقل Zone.Identifier. في الواقع ، يمكنك حذف هذا دفق البيانات البديل باستخدام الأداة المساعدة Streams.

    بناء الجملة بسيط - لمشاهدة التدفقات ، اكتب ما يلي في الموجه:

    تيارات

    يمكنك أيضًا استخدام "streams * .exe" أو ما شابه ذلك لمشاهدة جميع الملفات ببيانات تدفق مخفية ، إذا كانت هناك أي. أسرع طريقة لرؤية شيء ما هو التوجه إلى دليل التنزيلات وتشغيله هناك.

    لحذف أحد التدفقات أو العديد منها ، يمكنك استخدام الخيار -d:

    تيارات د

    يمكنك أيضًا استخدام الخيار -s للانتقال إلى الدلائل الفرعية بشكل متكرر.

    SigCheck بتحليل الملفات التي لم يتم توقيعها رقميا (مثل البرامج الضارة)

    تعمل هذه الأداة المفيدة جدًا على تحليل التوقيعات الرقمية للملفات على نظامك وتخبرك بما إذا كانت صالحة أو لا تحتوي على شهادة. يمكنك أيضًا استخدامه لفحص الملفات ضد VirusTotal من سطر الأوامر ، وهو أمر مناسب ، لأن هذه هي النقطة الحقيقية لهذه الأداة ، هو العثور على برامج ضارة.

    بناء الجملة العادي والأكثر فائدة هو إضافة رمز التبديل -u ، الذي لا يذكر سوى المشكلات ، والمفتاح -e ، الذي يتحقق من الملفات القابلة للتنفيذ فقط. حتى تتمكن من تشغيل شيء مثل هذا للتحقق من دليل system32 الخاص بك وتأكد من أن كافة الملفات هناك موقعة رقمياً. يجب فحص أي شيء آخر عن كثب.

    sigcheck -e -u C: \ Windows \ System32

    يمكنك أيضًا استخدام الخيار -v لإجراء فحص إضافي ضد VirusTotal ، ولكنك ستحتاج إلى استخدام الخيار -vt في المرة الأولى لقبول البنود والشروط الخاصة به.

    sigcheck -v -vt

    SDelete بأمان حذف الملفات

    إذا كنت من النوع المصاب بجنون العظمة ، فسوف يكون من دواعي سرورنا معرفة أنه يمكنك مسح الملفات من سطر الأوامر بشكل آمن في أي وقت تريده. مجرد استخدام الأداة المساعدة sdelete لمجرد الملف مع بروتوكولات الحذف المتوافقة DoD. (وبالطبع فإن NSA لا يزال لديها نسخة من ملفك). بناء الجملة بسيط:

    من SDelete

    يمكنك بدلاً من ذلك تنظيف المساحة الحرة على محرك الأقراص باستخدام sdelete -c الخيار ، الذي سيستغرق وقتا أطول ، ولكن هو خيار جيد إذا نسيت استخدام sdelete لإزالة الملف في المقام الأول.

    Contig Defragments واحد أو العديد من الملفات الفردية

    إذا كنت تريد إلغاء تجزئة ملف واحد فقط ، أو قائمة ملفات ، يمكنك استخدام الأداة المساعدة Contig للقيام بذلك. بالتأكيد ، لا تحتاج إلى إلغاء تجزئة الملفات في الإصدارات الحديثة من Windows التي تقوم بذلك تلقائيًا. ونعم ، إذا كنت تستخدم محرك أقراص الحالة الصلبة يجب عليك أبداً إلغاء تجزئة ولا تحتاج إلى. ولكن إذا كنت على الإطلاق ، بشكل إيجابي ، يجب إلغاء تجزئة ملف واحد ، وهذا هو الأداة المساعدة للقيام بذلك. بناء الجملة بسيط:

    contig

    إذا كنت ترغب في تحليل تجزئة ملف دون القيام بأي شيء فعليًا ، يمكنك استخدام رمز التبديل -a كما هو موضح أدناه:

    تجدر الإشارة إلى أنه حتى إذا كان الملف مجزأًا ، إذا كان الملف كبيرًا جدًا ولا ينقسم إلا إلى بضع أجزاء كبيرة ، فلن تكسب شيئًا من إلغاء التجزئة وسيفقد المزيد من الوقت في إزعاجه مما توفره.

    دو يعرض استخدام القرص

    يمكنك دومًا النقر بزر الماوس الأيمن فوق أي ملف أو مجلد في "مستكشف Windows" واختيار "خصائص" أو استخدام اختصار لوحة المفاتيح ALT + ENTER لمعرفة حجم الملف أو المجلد. ولكن ماذا لو كنت تريد أن ترى تلك البيانات من موجه الأوامر؟ وهنا يأتي دور الأداة المساعدة du ، كما أنها أكثر دقة قليلاً لأنها لا تحسب الملفات المرتبطة رمزيًا ، كما أنها تتحقق من دفق البيانات البديلة أيضًا.

    يقوم الخيار -n بالتحقق من مجلد واحد فقط ، دون العودة إلى أدلة فرعية ، بينما يتكرر الخيار -v ويعرض أيضًا كل دليل أثناء سيره في القائمة ، ويتحقق الخيار -l (n) من مستوى "n" فقط. كما هو الحال في -l 2 سوف تحقق 2 مستويات عميقة.

    PendMoves يعرض الملفات المتحركة على التالي إعادة التشغيل

    هل سبق لك أن تساءلت عن السبب في أن عمليات تثبيت التطبيق تجعلك تعيد تشغيل جهاز الكمبيوتر الخاص بك؟ عادةً ما تكون الإجابة هي أنهم يريدون نقل بعض الملفات التي لا يمكن نقلها أثناء تشغيل Windows ، لذلك يستخدمون ميزة Windows المضمنة التي تتعامل مع نقل أو حذف الملفات عند إعادة التشغيل.

    الشيء الوحيد الذي عليك القيام به هو تشغيل الأمر ، وستقوم بإخراج البيانات. لماذا تتم جدولة نسخة من Process Explorer للانتقال إلى مجلد Windows على إعادة التشغيل التالي؟ واصل القراءة.

    MoveFiles ينقل ملفات النظام عند إعادة تشغيل الكمبيوتر

    تستخدم هذه الأداة ميزة Windows المضمنة لجدولة نقل أو حذف أو إعادة تسمية ملف أو دليل بحيث يحدث أثناء دورة التمهيد التالية ، قبل تحميل Windows بشكل كامل. بناء الجملة بسيط للغاية:

    انقل الملف

    إذا كنت تريد حذف ملف ، يمكنك استخدام وجهة فارغة باستخدام علامات اقتباس ، مثل انقل الملف "". كما ترى في لقطة الشاشة أدناه ، استخدمنا أمر Movefile لجدولة نسخة من مستكشف العمليات ليتم نقلها إلى دليل Windows لتوضيح كيفية عمل كل شيء.

    تقاطع يخلق روابط رمزية

    يدعم Windows الارتباطات الرمزية للملفات والمجلدات ، بحيث يمكنك الحصول على أكثر من نقطة مسار واحدة إلى نفس الملف لتوفير مساحة بدلاً من وجود نسخ متعددة من أحد الملفات. تتشابه الفكرة مع الاختصارات ، إلا أن هذا على مستوى نظام الملفات ومدمج في NTFS.

    تتيح لك الأداة Junction إنشاء هذه الارتباطات وحذفها بسهولة. يمكنك أيضًا حذفها باستخدام تقاطع د .

    تقاطع طرق

    إلا أن الواقع هو أن Windows منذ Vista لديه القدرة على إنشاء روابط symlinks مع الأمر mklink ، ويمكنك أيضًا استخدام ذلك.

    FindLinks يجد روابط الصلبه للملفات

    هذه الأداة الصغيرة تجد كل الروابط الصلبة التي تشير إلى ملف. تختلف الارتباطات الثابتة عن الارتباطات الرمزية في أن حذف ارتباط ثابت واحد لا يقوم بحذف الملف بالفعل إذا كانت هناك ارتباطات أكثر صلابة بهذا الملف ، فإنه يبدو أنه يقوم بحذفه حتى تقوم بحذف كافة الارتباطات الثابتة. بمجرد حذف الرابط الثابت النهائي ، سيتم حذف الملف.

    ملحوظة: قد يكون هذا بالفعل طريقة ممتعة للتأكد من عدم حذف ملف معين من قبل شخص لديه عادة حذف الملفات. ما عليك سوى إنشاء رابط ثابت لجميع الملفات التي لا تريد أن يخسرها.

    في أي حال ، يمكنك استخدام هذا الأمر بسهولة كافية:

    findlinks

    المشكلة الوحيدة هي أن نظامي التشغيل Windows 7 و 8 بهما أمر مدمج يقوم بنفس الشيء. استخدم هذا واحد بدلا من ذلك:

    قائمة fsutil الثابتة

    ملحوظة: من الأفضل دائمًا تعلم استخدام الأشياء المدمجة عندما يكون ذلك ممكنًا ، لأنك لا تعرف أبدًا متى ستحتاج إلى القيام بشيء ما على كمبيوتر شخص آخر عندما لا يكون لديك مجموعة الأدوات الخاصة بك.

    DiskView يعرض هيكل القرص

    تسمح لك هذه الأداة بمشاهدة بنية محرك الأقراص الثابتة بتفصيل كبير ، ويمكنك أيضًا تكبير / تصغير الملف واختياره لتمييزه في القائمة ، بحيث يمكنك معرفة مكان وجود ملف معين على محرك الأقراص ، وكذلك نرى ما إذا كان مجزأة أم لا. إنه ليس مفيدًا للغاية بالنسبة لمعظم الناس ، ولكن نأمل أن يكون لديك سيناريو قد تحتاج إلى استخدامه فيه.

    Disk2vhd يتحول أجهزة الكمبيوتر الشخصية إلى محركات الأقراص الصلبة الافتراضية

    تعمل هذه الأداة على إنشاء نسخة من محرك الأقراص الثابت في الكمبيوتر أثناء تشغيله ، وتقوم بتجميعه بالكامل في ملف Virtual Hard Drive يمكن استخدامه في جهاز ظاهري. ويفعل ذلك أثناء تشغيل الكمبيوتر الشخصي.

    هذا صحيح ، يمكنك إنشاء جهاز ظاهري من القرص الصلب أثناء تشغيل الكمبيوتر. قد يكون هذا مفيدًا للغاية بالنسبة إلى السيناريوهات التي تريد فيها إجراء بعض التحليل الجنائي لجهاز ما ولكن على جهاز الكمبيوتر الخاص بك - يمكنك إنشاء نسخة فقط ثم تشغيلها كآلة افتراضية بدلاً من ذلك.

    يخبر الخيار لـ Vhdx Disk2vhd لاستخدام تنسيق ملف VHDX الأحدث بدلاً من تنسيق ملف VHD ، والذي كان يحتوي على عدد من القيود. بشكل افتراضي ، سيقوم Disk2vhd بإنشاء ملفات منفصلة لكل محرك أقراص فعلي ، ولكن يتم وضع الأقسام في نفس الملف. إذا كنت تخطط ببساطة لإرفاق ملف VHD هذا بجهاز ظاهري آخر ، أو حتى تركيبه على كمبيوتر Windows عادي ، يمكنك إلغاء تحديد الأقسام التي لا تحتاج إليها في القائمة. إذا كنت تخطط لإخراج جهاز ظاهري منه ، فيجب أن تترك كل شيء محددًا.

    يمكن وضع ملف الإخراج VHD على نفس محرك الأقراص الذي تقوم بإنشاء نسخة منه ، لكننا نوصي باستخدام محرك أقراص آخر إذا كان ذلك ممكنًا فقط لجعله يسير بشكل أسرع.

    PageDefrag قديم

    لقد سمحت لك هذه الأداة المساعدة بإلغاء تجزئة ملفات النظام أثناء التمهيد ، ولكن نظرًا لأنها لا تعمل على الإصدارات الحديثة من Windows ، يجب عليك تخطيها.

    تزامن يكتب بيانات مخزنة على القرص الخاص بك

    تقوم هذه الأداة ببساطة بمزامنة جميع البيانات المخزنة مؤقتًا بالقرص للتأكد من أن جميع تغييرات الملف مكتوبة على محرك الأقراص ولا يتم تخزينها في بعض المخزن المؤقت في مكان ما. بالطبع ، يجب عليك استخدام خيار إزالة Safely في كل مرة إذا كنت تريد التأكد من أنك لن تفقد البيانات عند سحب محرك أقراص محمول.

    يعرض مراقب القرص نشاط محرك الأقراص الثابت في الوقت الفعلي

    تظهر هذه الأداة نشاطًا فعليًا لمحرك الأقراص الثابتة يحدث في الوقت الفعلي - القطاعات ، والقراءة ، والكتابة ، وطول البيانات ، وكل ذلك هناك. المشكلة الوحيدة هي أنه ليس مفيدا للغاية بالنسبة لمعظم الناس.

    ما هو أكثر فائدة ، ربما ، هو مراقبة القرص "Tray Disk Light" الذي يمكنك الاختيار من قائمة الخيارات. بمجرد تمكين هذا الوضع ، سينتقل إلى علبة النظام ويومض باللون الأحمر للكتابة أو اللون الأخضر للقراءة أو البقاء باللون الرمادي عندما لا يحدث شيء.

    إذا تطابق الرمز مع Windows 8 بشكل أفضل قليلاً.

    VolumeID يغير الرقم التسلسلي لمحرك الأقراص

    هل سبق لك أن لاحظت كيف أن كل محرك يحتوي على رقم تسلسلي يشبه 064B-1E81 أو شيء غير مهم على حد سواء؟ إذا كنت ترغب في تغيير هذا الرقم التسلسلي إلى شيء أكثر متعة ، يمكنك القيام بذلك باستخدام الأداة المساعدة VolumeID باستخدام بناء الجملة هذا:

    volumeid XXXX-XXXX

    يرجى ملاحظة أن بناء الجملة يتطلب استخدام أحرف سداسية عشرية ، لذلك لا يمكنك كتابة GEEK-1337 كما فعلنا ، لأنه لن يعمل.

    الدرس التالي

    سنقوم في الغد بإنهاء السلسلة بإلقاء نظرة على بعض الأدوات المساعدة القليلة التي فاتناها ، بالإضافة إلى بعض الإرشادات حول استخدام جميع الأدوات معًا ، ومتى يجب عليك سحب كل أداة.