sysinternals pro:ファイル、フォルダ、ドライブの分析と管理

SysInternalsツールのGeek Schoolシリーズがほぼ完成しました。今日は、隠しデータを見つけたり、ファイルを安全に削除したりして、ファイルやフォルダを扱うためのユーティリティについて説明します。

ツールキットには、ファイルやフォルダに関連するあらゆる種類の事柄や、そこにあることを知らなかったデータを扱うユーティリティがありますが、愚かな面では少ししかありません。いずれにせよ、私たちはそれらをすべてカバーします。

キットに含まれる最も重要なファイル関連ツールはおそらくSigcheckとStreamsのユーティリティですが、それらをすべて慎重に読むことが賢明でしょう。

ほとんどの人はこの機能について知らないのですが、Windowsでは、代替データストリームと呼ばれるファイルシステムの隠しコンパートメント内にデータを格納できます。これは、基本的に、ファイル名の最後にコロンとユニークなキーを追加することで機能します。

たとえば、ファイル内のデータを隠す場合は、echo Secret> filename.txt:hiddenstuffのような操作を行い、そのテキストファイルをメモ帳に開いても、「Secret」というテキストは表示されませんあなたが追加して、それがそこにあったことを知る他の方法はありません。実際、あなたはこの技術を使って、あなたが望むものを何でもできます。 (詳しい説明については、その件に関する記事を必ず読んでください)。

これは、Zone.Identifierフィールドの中にデータを隠すことによって、Windowsがファイルがインターネットからダウンロードされたことを魔法のように知ることを可能にする技術です。実際には、Streamsユーティリティを使用してこの代替データ・ストリームを削除できます。

構文は単純です。ストリームを見るには、プロンプトで次のように入力します

ストリーム<ファイル名>

また、「ストリーム* .exe」などを使用して、隠されたストリームデータがある場合はすべてのファイルを見ることができます。何かを見る最速の方法は、あなたのダウンロードディレクトリに向かい、そこで実行することです。

ストリームの1つまたはそれらの多くを削除するには、-dオプションを使用します

ストリーム-d

-sオプションを使用すると、再帰的にサブディレクトリに移動することもできます。

この非常に便利なユーティリティは、システム上のファイルのデジタル署名を分析し、証明書が有効かどうかを示します。コマンドラインからVirusTotalを使ってファイルをチェックすることもできます。これは、このツールの本当の点であり、マルウェアを見つけることができるので便利です。

通常の便利な構文は、問題のみを報告する-uスイッチと、実行可能ファイルをチェックする-eスイッチを追加することです。だから、あなたのsystem32ディレクトリをチェックし、そこにすべてのファイルがデジタル署名されていることを確認するために、このようなものを実行することができます。それ以外のものは非常に詳しく調べるべきです。

sigcheck -e -u C:\ Windows \ System32

また、-vオプションを使用してVirusTotalに対する追加チェックを行うこともできますが、利用規約に同意するには、-vtオプションを初めて使用する必要があります。

sigcheck -v -vt <ファイル名>

あなたがパラノイド型の人なら、いつでもコマンドラインからファイルを安全に消去できることを知ってうれしいです。 sdeleteユーティリティを使用して、DoD準拠の削除プロトコルでファイルを叩くだけです。 (もちろんNSAにはあなたのファイルのコピーが残っているでしょう)。構文は単純です

sdelete <ファイル名>

代わりに、sdelete -cオプションを使用してドライブの空き領域をクリーニングすることもできますが、これは時間がかかりますが、最初にsdeleteを使用してファイルを削除するのを忘れた場合には便利です。

単一のファイルまたはファイルのリストを最適化する場合は、Contigユーティリティを使用してそれを行うことができます。確かに、自動的に行う最新バージョンのWindowsでは、ファイルを最適化する必要はありません。そして、ええ、ソリッドステートドライブを使用している場合は、絶対にデフラグする必要はありません。しかし、確実に、確実に1つのファイルのデフラグを行う必要がある場合は、これを行うユーティリティです。構文は単純です

contig <ファイル名>

実際に何もせずにファイルの断片化を分析する場合は、以下のように-aスイッチを使用できます

たとえファイルが断片化していても、ファイルが非常に大きく、いくつかの大きな断片に分割されているだけでは、基本的に断片化を解消することはできず、保存するよりも時間が浪費されます。

Windowsエクスプローラで任意のファイルまたはフォルダを右クリックし、[プロパティ]を選択するか、Alt + Enterキーのキーボードショートカットを使用して、ファイルまたはフォルダのサイズを表示することができます。しかし、コマンドプロンプトからそのデータを見たい場合はどうすればよいでしょうか?これはduユーティリティが入っている場所で、シンボリックリンクファイルを数えないため、もう少し正確で、代替データストリームもチェックします。

-nオプションは、-vオプションが再帰的に実行される間にサブディレクトリに再帰することなく1つのフォルダのみをチェックし、リストを通過するごとに各ディレクトリを表示し、-l(n)オプションはちょうど “n”レベルをチェックします。 〜のように、-l 2は2つのレベルを深くチェックします。

アプリケーションのインストールにより、コンピュータを再起動させる理由が疑問に思ったことはありますか?答えは通常、Windowsの実行中に移動できないファイルを移動したいので、再起動時にファイルの移動や削除を処理する組み込みのWindows機能を使用します。

あなたがする必要があるのは、コマンドを実行するだけで、データを出力します。 Process Explorerのコピーが、次の再起動時にWindowsフォルダに移動するようにスケジュールされているのはなぜですか?読む。

このユーティリティは、組み込みのWindows機能を使用して、ファイルまたはディレクトリの移動、削除、または名前の変更をスケジュールし、Windowsが完全にロードされる前の次の再起動サイクル中に実行されるようにします。構文は本当にシンプルです

movefile

ファイルを削除する場合は、movefile“”のように引用符を使用して空の宛先を使用することができます。下のスクリーンショットでわかるように、Movefileコマンドを使用して、プロセスエクスプローラのコピーをWindowsディレクトリに移動して、すべての動作を説明しました。

Windowsでは、ファイルとフォルダのシンボリックリンクがサポートされているため、ファイルの複数のコピーではなく、複数のパスで同じファイルを指してスペースを節約できます。この考え方はショートカットと似ていますが、これはファイルシステムレベルであり、NTFSに組み込まれています。

Junctionユーティリティを使用すると、これらのリンクを簡単に作成および削除できます。 junction -d を使用して削除することもできます。

ジャンクション

ただし、Vistaはmklinkコマンドでシンボリックリンクを作成することができるので、実際にはWindowsが使用されています。

この小さなユーティリティは、ファイルを指すすべてのハードリンクを見つけます。ハードリンクはシンボリックリンクとは異なり、あるハードリンクを削除してもそのファイルへのハードリンクが増えると実際にファイルが削除されず、すべてのハードリンクが削除されるまで削除されるように見えます。最終ハードリンクを削除すると、ファイルが削除されます。

注意:これは実際には、特定のファイルが実際にファイルを削除する癖のある人によって実際に削除されないようにする興味深い方法です。あなたが失うことを望まないすべてのファイルへのハードリンクを作成するだけです。

いずれの場合でも、このコマンドを簡単に使用することができます

findlinks <ファイル名>

唯一の問題は、Windows 7と8には同じことを行う組み込みコマンドがあることです。代わりにこの1つを使用してください

fsutilハードリンクリスト<ファイル名>

注:可能な限り、組み込みのものを使用する方法を学ぶ方が良いです。なぜなら、あなたがツールキットを持っていないときに他の誰かのコンピュータで何かをする必要があるか分からないからです。

このユーティリティを使用すると、ハードドライブの構造を詳細に表示することができます。また、ズームインしてファイルを選択してリスト内で強調表示することもできます。これにより、特定のファイルがドライブ上のどこにあるか、断片化されているかどうかを確認してください。ほとんどの人にはあまり役に立ちませんが、使用する必要があるシナリオがあることを願っています。

このユーティリティは、実行中にコンピュータのハードドライブのクローンを作成し、仮想マシンで使用できる仮想ハードドライブファイルにすべてバンドルします。そして、それはPCが動いている間これを行います。

そうです、コンピュータの稼働中にハードドライブの仮想マシンを作成することができます。これは、マシンのフォレンジック分析を自分のコンピューター上で行いたい場合には、クローンを作成して代わりに仮想マシンとして起動するというシナリオでは本当に役に立ちます。

Vhdxのオプションは、多くの制限があったVHDファイル形式の代わりに、新しいVHDXファイル形式を使用するようにDisk2vhdに指示します。デフォルトでは、Disk2vhdは物理ドライブごとに別々のファイルを作成しますが、パーティションは同じファイルに入れます。このVHDファイルを別の仮想マシンに接続するだけであれば、通常のWindowsコンピュータにマウントするだけで、必要のないパーティションはリストから削除することができます。仮想マシンを作成したい場合は、すべてをチェックしたままにしておくべきでしょう。

VHD出力ファイルは実際にコピーを作成しているのと同じドライブに置くことができますが、できるだけ速くするためには2番目のドライブを使用することをお勧めします。

このユーティリティを使用すると、起動時にシステムファイルの最適化を行うことができましたが、最近のバージョンのWindowsでは動作しないため、スキップする必要があります。

このユーティリティは、すべてのキャッシュされたデータをディスクに同期させるだけで、すべてのファイルの変更がドライブに書き込まれ、どこかのバッファには保存されないようにします。もちろん、フラッシュドライブを引っ張ってもデータが失われないようにするには、毎回「安全に取り外す」オプションを使用する必要があります。

このユーティリティは、セクタ、リード、ライト、データの長さなど、実際のハードドライブのアクティビティをリアルタイムで表示します。唯一の問題は、ほとんどの人にはそれほど有用ではないということです。

もう少し便利なのは、「オプション」メニューからディスクを監視する「トレイディスクライト」です。そのモードを有効にすると、システムトレイに移動し、何も起こっていないときは、書き込みの場合は赤で点滅し、緑の場合は緑、読み取りの場合は緑で点滅します。

アイコンのみがWindows 8と少し良く合っていれば。

あなたはすべてのドライブが064B-1E81のようなシリアル番号を持っていることに気づいたことがありますか、まったく興味がありませんか?そのシリアル番号をもっと楽しいものに変更したい場合は、この構文でVolumeIDユーティリティを使用してシリアル番号を変更することができます

volumeid XXXX-XXXX

この構文では16進文字を使用する必要があるので、GEEK-1337を入力しても入力できないことに注意してください。

明日はシリーズの最後に、欠落している小規模なユーティリティの一部と、すべてのツールを一緒に使用するためのガイダンスと、各ツールを取り出す必要があるときを見ていきます。

次のページ:ツールをまとめて使用する

ここには素晴らしいツールがたくさんありますが、まだ遊んでいません。このシリーズをやってくれてありがとう!

SigCheckは理論上、VirusTotalを使用してパーティション全体をスキャンすることはできませんでしたか?PCの究極のウイルス対策スキャンのようなものですか?

これは少し虐待になるだろう。すべてのファイルをVirusTotalに提出するのか、それとも署名のないファイルだけに提出するのですか?これを署名されていないファイルだけに限定すると、このようなシステム全体のスキャンの影響は確実に軽減されますが、おそらくユーザープロファイルフォルダの内容を数え始めたときにはそれほど多くはありません。あなたがこれをやめることを止める何かがありますか?そうでない場合、VirusTotalは、承認された使用法であるかどうかについて問題にコメントしましたか?

VirusTotalがあなたや何かを制限するかどうかはわかりませんが、これを使ってすべてのファイルを送信することは間違いありません。私はほとんどのファイルがある時点でVirusTotalに送信されていると推測しているため、ほとんどの場合、ファイルのハッシュを送信して、すでに報告されているかどうかを確認するだけで、VirusTotalが見たことのない新しい実行ファイルのみがアップロードされます。

本当に便利なのは、あなたのダウンロードフォルダに対して実行されるいくつかの種類のスクリプトを作成することです。そこでは、ほとんどの問題がどこから到着するのかが分かるからです。

VirusTotalが見たことのない新しい実行ファイルのみがアップロードされます

それが正しいとはかなり確信しています。小規模なテスト(私のデスクトップのいくつかのファイルとSystem32のいくつかのDLLに対して)では、-eを指定しない限り、SigCheckはすべてを見て、送信します。これは、ファイルの種類に関係なく、すべてのファイルがVirusTotalに対してチェックされ、認識されないファイル(おそらくマイドキュメントの90%など)が提出されることを意味します。

そうですね、私はあなたが実行ファイルに対してしかチェックしないと仮定していました。 VirusTotalが見なかったファイルのみが実際にアップロードされ、残りはハッシュとして送信されます。

私は、これらの教育ガイドをすべて、Sininternals、Gメール、Officeなどで読むことを楽しんでいます。私はちょうど1つの質問があります。なぜ、ある日、記事全体が1つのWebページに表示されますが、他の日には、2番目または3番目のWebページで記事を続行する下部に「次へ」ボタンがあります。

記事全体を読む時間がないときは、Chromeの印刷機能を使用してPDF形式で保存します。いくつかのセクションに分割されていない場合は、印刷や保存がずっと便利です。各セクションの名前を変更する必要はありません。

言ってるだけ

いくつかの日にはレッスンは非常に長いので、複数のページに分割します。レッスンの時間があまり長くない日には、1ページに移動させます。

研究者は、完了する前にアイデンティティに関連する目標を共有する人々は、実際にそれらを完了する可能性が低いことを発見しました。