Kami hampir selesai dengan seri Sekolah Geek kami tentang alat SysInternals, dan hari ini kami akan membahas tentang semua utilitas yang membantu Anda menangani file dan folder - apakah Anda menemukan data tersembunyi atau menghapus file dengan aman.
NAVIGASI SEKOLAH
Apa Alat SysInternals dan Bagaimana Anda Menggunakannya?
Memahami Proses Explorer
Menggunakan Process Explorer untuk Memecahkan Masalah dan Mendiagnosis
Memahami Proses Monitor
Menggunakan Monitor Proses untuk Mengatasi Masalah dan Menemukan Peretasan Registry
Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
Menggunakan PsTools untuk Mengontrol PC Lain dari Command Line
Menganalisis dan Mengelola File, Folder, dan Drive Anda
Membungkus dan Menggunakan Alat Bersama
Ada beberapa utilitas dalam perangkat yang menangani segala macam hal yang terkait dengan file atau folder atau menemukan data yang tidak Anda ketahui ada di sana, dan ada beberapa yang sedikit di sisi konyol. Either way, kami akan menutupi semuanya.
Alat-alat terkait file yang paling penting dalam kit untuk mengetahui mungkin adalah Sigcheck dan Streams utilitas, tetapi akan lebih bijaksana untuk membaca semua mereka dengan hati-hati.
Streams Menemukan dan Menampilkan Hidden NTFS Streams
Kebanyakan orang tidak tahu tentang fitur ini, tetapi Windows akan membiarkan Anda menyimpan data di dalam kompartemen tersembunyi di sistem file yang disebut aliran data alternatif. Ini pada dasarnya berfungsi dengan menambahkan tanda titik dua dan kunci unik ke akhir nama file ketika berinteraksi dengannya.
Misalnya, jika Anda ingin menyembunyikan beberapa data dalam file, Anda dapat melakukan sesuatu sepertiecho Secret> filename.txt: hiddenstuffdan bahkan jika Anda membuka file teks itu di Notepad, Anda tidak akan melihat teks "Rahasia" yang Anda tambahkan, dan tidak akan ada cara lain untuk mengetahui bahwa itu bahkan ada di sana. Bahkan, Anda dapat melakukan hampir semua hal yang Anda inginkan menggunakan teknik ini. (Pastikan untuk membaca artikel kami tentang subjek untuk penjelasan lengkap).
Ini juga merupakan teknik yang memungkinkan Windows secara ajaib mengetahui bahwa file telah diunduh dari internet, dengan menyembunyikan data di dalam bidang Zone.Identifier. Bahkan, Anda dapat menghapus aliran data alternatif ini menggunakan utilitas Streaming.
Sintaksnya sederhana - untuk melihat aliran, ketik perintah berikut pada prompt:
streams
Anda juga dapat menggunakan "streams * exe" atau sesuatu seperti itu untuk melihat semua file dengan data stream tersembunyi, jika ada. Cara tercepat untuk melihat sesuatu adalah masuk ke direktori unduhan Anda dan jalankan di sana.
Untuk menghapus salah satu aliran atau banyak dari mereka, Anda dapat menggunakan opsi -d:
streams -d
Anda juga dapat menggunakan opsi -s untuk masuk ke subdirektori secara rekursif.
SigCheck Menganalisis File yang Tidak Ditandatangani Secara Digital (Seperti Perangkat Lunak Perusak)
Utilitas yang sangat berguna ini menganalisis tanda tangan digital file di sistem Anda dan memberi tahu Anda apakah mereka valid atau tidak memiliki sertifikat. Anda juga dapat menggunakannya untuk memeriksa file terhadap VirusTotal dari baris perintah, yang nyaman, karena itulah tujuan utama alat ini, adalah menemukan malware.
Sintaks normal dan paling berguna adalah menambahkan tombol -u, yang hanya melaporkan masalah, dan tombol -e, yang hanya memeriksa file yang dapat dieksekusi. Jadi Anda bisa menjalankan sesuatu seperti ini untuk memeriksa direktori system32 Anda dan memastikan bahwa semua file di sana ditandatangani secara digital. Yang lain harus diperiksa dengan cermat.
sigcheck -e -u C:WindowsSystem32
Anda juga dapat menggunakan opsi -v untuk pemeriksaan tambahan terhadap VirusTotal, tetapi Anda harus menggunakan opsi -vt saat pertama kali menerima persyaratan dan ketentuan mereka.
sigcheck -v -vt
Image
SDelete Aman Menghapus File
Jika Anda adalah tipe paranoid, Anda akan senang mengetahui bahwa Anda dapat menghapus file dengan aman dari baris perintah kapan saja Anda mau. Cukup gunakan utilitas sdelete untuk mendongkrak file dengan protokol penghapusan yang mematuhi DOD. (Tentu saja NSA mungkin masih memiliki salinan file Anda). Sintaksnya sederhana:
sdelete
Anda dapat alternatif membersihkan ruang kosong pada drive dengan menggunakansdelete -cpilihan, yang akan memakan waktu lebih lama, tetapi merupakan pilihan yang baik jika Anda lupa menggunakan sdelete untuk menghapus file di tempat pertama.
Image
Contig Defragments Satu atau Banyak File Individu
Jika Anda ingin men-defragmen hanya satu file tunggal, atau daftar file, Anda dapat menggunakan utilitas Contig untuk melakukan hal itu. Tentu, Anda tidak perlu melakukan defragment file dalam versi Windows modern yang melakukannya secara otomatis. Dan ya, jika Anda menggunakan hard disk solid state, Anda seharusnya tidak pernah melakukan defragment atau yang Anda perlukan. Tetapi jika Anda benar-benar, secara positif, harus men-defragmen satu file, ini adalah utilitas untuk melakukannya. Sintaksnya sederhana:
contig
Jika Anda ingin menganalisis fragmentasi file tanpa benar-benar melakukan apa pun, Anda dapat menggunakan tombol -a seperti yang ditunjukkan di bawah ini:
Perlu dicatat bahwa bahkan jika file terfragmentasi, jika file sangat besar dan hanya dipecah menjadi beberapa bagian besar, Anda tidak akan mendapatkan apa pun dari defragmenting dan akan menghabiskan lebih banyak waktu dengan hal itu daripada yang Anda simpan.
du Shows Disk Usage
Anda selalu dapat mengklik kanan file atau folder apa pun di Windows Explorer dan memilih Properties, atau menggunakan pintasan keyboard ALT + ENTER untuk melihat ukuran file atau folder.Tetapi bagaimana jika Anda ingin melihat data tersebut dari command prompt? Di situlah utilitas du masuk, dan itu juga sedikit lebih akurat karena tidak menghitung file yang terhubung secara simbolis, dan itu memeriksa aliran data alternatif juga.
Opsi -n hanya memeriksa satu folder, tanpa berulang ke dalam subdirektori, sedangkan opsi -v melakukan rekursi dan juga menampilkan setiap direktori saat melewati daftar, dan opsi -l (n) hanya memeriksa tingkat "n" dalam. Seperti dalam, -l 2 akan memeriksa 2 level.
PendMoves Menampilkan File yang Bergerak di Reboot Berikutnya
Pernahkah Anda bertanya-tanya mengapa pemasangan aplikasi membuat Anda me-reboot komputer? Jawabannya adalah biasanya mereka ingin memindahkan beberapa file di sekitar yang tidak dapat dipindahkan saat Windows sedang berjalan, sehingga mereka menggunakan fitur Windows yang built-in yang menangani pemindahan atau penghapusan file saat reboot.
Satu-satunya hal yang perlu Anda lakukan adalah menjalankan perintah, dan ia akan menampilkan data. Mengapa salinan Process Explorer dijadwalkan untuk pindah ke folder Windows pada reboot berikutnya? Baca terus.
Image
MoveFiles Memindahkan Berkas Sistem saat Anda Boot Ulang
Utilitas ini menggunakan fitur Windows bawaan untuk menjadwalkan pemindahan, penghapusan, atau penggantian nama file atau direktori sehingga akan terjadi selama siklus reboot berikutnya, sebelum Windows dimuat penuh. Sintaksnya sangat sederhana:
movefile
Jika Anda ingin menghapus file, Anda dapat menggunakan tujuan kosong dengan menggunakan tanda kutip, sepertimemindahkan file “”. Seperti yang Anda lihat pada gambar di bawah, kami menggunakan perintah Movefile untuk menjadwalkan salinan proses explorer untuk dipindahkan ke direktori Windows untuk mengilustrasikan cara kerjanya.
Image
Junction Membuat Tautan Simbolis
Windows mendukung tautan simbolik untuk file dan folder, sehingga Anda dapat memiliki lebih dari satu titik jalur ke file yang sama untuk menghemat ruang daripada memiliki banyak salinan file. Idenya mirip dengan cara pintas, kecuali ini pada tingkat sistem file dan dibangun ke NTFS.
Utilitas Junction memungkinkan Anda untuk membuat dan menghapus tautan ini dengan mudah. Anda juga dapat menghapusnya menggunakanpersimpangan-d .
junction
Kenyataannya, bagaimanapun, adalah bahwa Windows sejak Vista memiliki kemampuan untuk membuat symlink dengan perintah mklink, dan Anda juga dapat menggunakan yang itu saja.
FindLinks Menemukan Tautan Keras ke File
Utilitas kecil ini menemukan semua tautan keras yang menunjuk ke file. Tautan keras berbeda dari tautan simbolik dalam menghapus satu tautan keras tidak benar-benar menghapus file jika ada lebih banyak tautan keras ke file itu, itu hanya tampak menghapusnya sampai Anda telah menghapus semua tautan keras. Setelah Anda menghapus tautan keras terakhir, file tersebut akan dihapus.
Catatan: ini sebenarnya bisa menjadi cara yang menarik untuk memastikan bahwa file tertentu tidak benar-benar dihapus oleh seseorang yang memiliki kebiasaan menghapus file. Cukup buat tautan keras ke semua file yang tidak ingin mereka kehilangan.
Bagaimanapun, Anda dapat menggunakan perintah ini cukup mudah:
findlinks
Satu-satunya masalah adalah Windows 7 dan 8 memiliki perintah built-in yang melakukan hal yang sama. Gunakan ini sebagai gantinya:
fsutil hardlink list
catatan:Selalu lebih baik untuk belajar menggunakan fitur bawaan jika memungkinkan, karena Anda tidak pernah tahu kapan Anda perlu melakukan sesuatu di komputer orang lain saat Anda tidak memiliki perangkat Anda.
DiskView Menampilkan Struktur Disk
Utilitas ini memungkinkan Anda untuk melihat struktur hard drive Anda dengan sangat detail, dan Anda bahkan dapat memperbesar semua jalan dan memilih file untuk disorot dalam daftar, sehingga Anda dapat melihat di mana file tertentu berada di drive, dan juga lihat apakah itu terfragmentasi atau tidak. Ini tidak terlalu berguna bagi kebanyakan orang, tetapi mudah-mudahan Anda punya skenario di mana Anda mungkin perlu menggunakannya.
Image
Disk2vhd Mengubah PC menjadi Virtual Hard Drives
Utilitas ini membuat tiruan dari hard drive komputer Anda saat sedang berjalan, dan menggabungkan semuanya ke dalam file Hard Drive Virtual yang dapat digunakan dalam mesin virtual. Dan ini dilakukan saat PC sedang berjalan.
Itu benar, Anda dapat membuat mesin virtual dari hard drive Anda saat komputer Anda berjalan. Ini juga bisa sangat membantu untuk skenario di mana Anda ingin melakukan beberapa analisis forensik mesin tetapi pada komputer Anda sendiri - Anda bisa membuat klon dan kemudian boot sebagai mesin virtual sebagai gantinya.
Opsi untuk Vhdx memberitahu Disk2vhd untuk menggunakan format file VHDX yang lebih baru daripada format file VHD, yang memiliki sejumlah keterbatasan. Secara default Disk2vhd akan membuat file terpisah untuk setiap drive fisik, tetapi memasukkan partisi ke file yang sama. Jika Anda hanya berencana untuk melampirkan file VHD ini ke mesin virtual lain, atau bahkan memasangnya di komputer Windows biasa, Anda dapat menghapus centang pada partisi yang tidak Anda perlukan dalam daftar. Jika Anda berencana untuk membuat mesin virtual dari itu, Anda mungkin harus meninggalkan semuanya diperiksa.
File output VHD sebenarnya dapat ditempatkan ke drive yang sama dengan yang Anda buat salinannya, tetapi kami sarankan menggunakan drive kedua jika mungkin hanya untuk membuatnya lebih cepat.
PageDefrag Sudah Usang
Utilitas ini memungkinkan Anda untuk men-defragmen file sistem saat boot, tetapi karena tidak berfungsi pada Windows versi terbaru, Anda harus melewatinya.
Sync Menulis Data yang Di-cache ke Disk Anda
Utilitas ini hanya menyinkronkan semua data cache ke disk untuk memastikan semua perubahan file ditulis ke drive dan tidak disimpan di beberapa buffer di suatu tempat. Tentu saja, Anda harus menggunakan opsi Hapus Aman setiap saat jika Anda ingin memastikan Anda tidak akan kehilangan data saat menarik flash drive.
Image
Disk Monitor Menampilkan Aktivitas Hard Drive Real-Time Anda
Utilitas ini menunjukkan aktivitas hard drive yang sebenarnya terjadi secara waktu nyata - sektor, membaca, menulis, panjang data, semuanya ada di sana.Satu-satunya masalah adalah itu tidak terlalu berguna bagi kebanyakan orang.
Apa yang sedikit lebih bermanfaat, mungkin, adalah pemantauan disk “Tray Disk Light” yang dapat Anda pilih dari menu Opsi. Setelah Anda mengaktifkan mode itu, ia akan pindah ke baki sistem dan berkedip merah untuk menulis, hijau untuk dibaca, atau tetap abu-abu ketika tidak ada yang terjadi.Jika hanya ikon yang cocok dengan Windows 8 sedikit lebih baik.
VolumeID Mengubah Nomor Seri Drive
Pernahkah Anda memperhatikan bagaimana setiap drive memiliki nomor seri yang terlihat seperti 064B-1E81 atau sesuatu yang sama sekali tidak menarik? Jika Anda ingin mengubah nomor seri itu menjadi sesuatu yang lebih menyenangkan, Anda dapat melakukannya dengan menggunakan utilitas VolumeID dengan sintaks ini:
volumeid XXXX-XXXX
Harap perhatikan bahwa sintaksnya harus menggunakan karakter heksadesimal, jadi Anda tidak dapat mengetik GEEK-1337 seperti yang kami lakukan, karena itu tidak akan berfungsi.
Image
Pelajaran berikutnya
Besok kami akan menyelesaikan seri ini dengan melihat beberapa utilitas kecil yang kami lewatkan, serta beberapa panduan tentang menggunakan semua alat bersama-sama, dan kapan Anda harus mengeluarkan setiap alat.
Ada beberapa utilitas yang dibangun ke Vista dan XP yang memungkinkan Anda untuk memantau kesehatan hard drive, seperti artikel kami sebelumnya tentang cara menghasilkan laporan kesehatan sistem lengkap. Kami juga telah mengulas alat pihak ketiga seperti DriveSpacio, dan hari ini kami akan berjalan menggunakan WinDirStat untuk memvisualisasikan ruang hard drive.
Tindakan Folder untuk Windows mengotomatiskan proses pembuatan folder dan mengelola file di bawahnya. Ini memungkinkan Anda menyalin, memindahkan, mengganti nama file, mengkonversi gambar, audio, file video, & memadatkan atau mendekompresi file.
Vopt termasuk batch dan opsi defragmentasi terjadwal, membuat salinan baru data Anda sebelum memutus tautan dan menyertakan alat untuk memeriksa sistem Anda.
Gunakan alat analisis dump WhoCrashed, untuk membaca, menganalisis file Windows Memory Dump .dmp di Windows 10/8/7. Download Gratis. Mengungkapkan driver atau modul kernel yang bertanggung jawab untuk menabrak komputer Anda.
Utilitas FS adalah seperangkat alat yang dapat membantu Anda mengelola file Anda di PC Windows. Anda dapat mengganti nama, menghapus, dan menemukan file duplikat juga.
