파일, 폴더 및 드라이브 분석 및 관리
우리는 SysInternals 도구에 대한 Geek School 시리즈를 거의 끝내 었으며, 오늘은 숨겨진 데이터를 찾거나 파일을 안전하게 삭제하는 등 파일과 폴더를 다루는 데 도움이되는 모든 유틸리티에 대해 이야기 할 것입니다..
학교 이동- SysInternals 도구 란 무엇이며 어떻게 사용합니까??
- 프로세스 탐색기 이해
- 프로세스 탐색기를 사용하여 문제 해결 및 진단
- 프로세스 모니터 이해
- 프로세스 모니터를 사용하여 레지스트리 해킹 문제를 해결하고 찾기
- 자동 실행을 사용하여 시작 프로세스 및 맬웨어 다루기
- BgInfo를 사용하여 데스크탑에 시스템 정보 표시
- PsTools를 사용하여 명령 줄에서 다른 PC 제어
- 파일, 폴더 및 드라이브 분석 및 관리
- 함께 포장하고 사용하기
툴킷에는 툴킷에 파일이나 폴더와 관련된 모든 종류의 것들을 다루거나 당신이 모르는 데이터를 찾는 꽤 많은 유틸리티가 있습니다. 그리고 어리석은쪽에는 약간있는 것들이 있습니다. 어느 쪽이든, 우리는 그들 모두를 다룰 것입니다..
키트에서 가장 중요한 파일 관련 도구는 Sigcheck 및 Streams 유틸리티 일 가능성이 있지만이를 모두주의 깊게 읽는 것이 좋습니다.
스트림이 숨겨진 NTFS 스트림을 찾아서 표시합니다.
대부분의 사람들은이 기능에 대해 알지 못하지만 Windows에서는 대체 데이터 스트림이라는 파일 시스템의 숨겨진 구획에 데이터를 저장할 수 있습니다. 이것은 기본적으로 파일 이름의 끝에 콜론과 고유 한 키를 추가하여 작동합니다.
예를 들어 파일의 일부 데이터를 숨기려면 다음과 같이하면됩니다. echo secret> filename.txt : hiddenstuff 메모장에 텍스트 파일을 열어도 추가 한 "비밀"텍스트는 보이지 않을 것이며 거기에 있었다는 것을 알 수있는 다른 방법은 없습니다. 사실,이 기술을 사용하여 원하는 거의 모든 것을 할 수 있습니다. (전체 설명은 주제에 대한 기사를 반드시 읽으십시오).
이는 또한 Windows가 Zone.Identifier 필드에 데이터를 숨김으로써 인터넷에서 파일이 다운로드되었음을 마술처럼 알 수있게 해주는 기술입니다. 사실, Streams 유틸리티를 사용하여이 대체 데이터 스트림을 삭제할 수 있습니다.
구문은 간단합니다. 스트림을 보려면 프롬프트에서 다음을 입력하십시오.
개울
숨겨진 스트림 데이터가있는 모든 파일을 보려면 "streams * .exe"또는 이와 비슷한 것을 사용할 수도 있습니다. 가장 빠른 방법은 다운로드 디렉토리에 가서 실행하는 것입니다..
스트림 중 하나 또는 그 중 많은 스트림을 삭제하려면 -d 옵션을 사용할 수 있습니다.
스트림 -d
또한 -s 옵션을 사용하여 재귀 적으로 하위 디렉토리로 이동할 수 있습니다.
SigCheck는 디지털 서명되지 않은 파일을 분석합니다 (맬웨어와 같은).
이 매우 유용한 유틸리티는 시스템의 파일에 대한 디지털 서명을 분석하여 유효성 또는 누락 여부를 알려줍니다. 또한이 도구를 사용하여 명령 줄에서 VirusTotal에 대한 파일을 검사 할 수 있습니다. 편리합니다.이 도구의 핵심은 멀웨어를 찾는 것입니다..
정상적이고 유용한 구문은 문제를보고하는 -u 스위치와 실행 파일 만 검사하는 -e 스위치를 추가하는 것입니다. 따라서 system32 디렉터리를 확인하고 거기에있는 모든 파일이 디지털 서명되었는지 확인하기 위해 이와 같은 것을 실행할 수 있습니다. 그 밖의 것은 매우 면밀히 검사해야합니다..
sigcheck -e -u C : \ Windows \ System32
Virustotal에 대해 추가 검사를 위해 -v 옵션을 사용할 수도 있지만 처음에는 -vt 옵션을 사용하여 조건을 수락해야합니다.
sigcheck -v -vt
SDelete는 파일을 안전하게 삭제합니다.
편집증 유형이라면 원하는 언제든지 명령 줄에서 파일을 안전하게 지울 수 있다는 것을 알게되어 기쁩니다. 그냥 sdelete 유틸리티를 사용하여 DoD 준수 삭제 프로토콜로 파일을 샅샅이 뒤져보십시오. (물론 NSA는 아마도 당신의 파일 사본을 가지고있을 것입니다.) 구문은 간단합니다.
sdelete
또는 드라이브의 여유 공간을 sdelete -c 옵션은 오래 걸리지 만, 처음부터 sdelete를 사용하여 파일을 지우지 않았다면 좋은 옵션입니다.
Contig 조각 모음 하나 또는 여러 개의 개별 파일
하나의 파일이나 파일 목록을 조각 모음하려면 Contig 유틸리티를 사용하면됩니다. 물론 자동으로 수행하는 최신 버전의 Windows에서 파일을 조각 모음 할 필요가 없습니다. 그리고 솔리드 스테이트 드라이브를 사용하는 경우에는 절대로 조각 모음을하거나 절대로 사용해야하지 않습니다. 그러나 절대적으로, 적극적으로, 하나의 파일을 조각 모음해야한다면,이 작업을 수행하는 유틸리티입니다. 구문은 간단합니다.
콘티그
실제로 아무것도 수행하지 않고 파일의 조각화를 분석하려면 다음과 같이 -a 스위치를 사용할 수 있습니다.
파일이 조각 나더라도 파일이 매우 크고 크기가 큰 조각으로 나뉘어있는 경우에는 조각 모음을 수행하지 않아도 아무 것도 얻을 수 없으며 저장하는 것보다 시간을 낭비해야합니다..
du는 디스크 사용량을 보여줍니다.
Windows 탐색기에서 파일이나 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 선택하거나 Alt + Enter 바로 가기 키를 사용하여 파일이나 폴더의 크기를 볼 수 있습니다. 그러나 명령 프롬프트에서 해당 데이터를 보려면 어떻게해야합니까? 그것이 du 유틸리티가 들어오는 곳이며 심볼릭 링크 된 파일을 계산하지 않기 때문에 조금 더 정확합니다. 대체 데이터 스트림도 검사합니다..
-n 옵션은 서브 디렉토리로 재귀하지 않고 하나의 폴더 만 검사하며, -v 옵션은 반복되고 목록을 통과 할 때 각 디렉토리를 표시하며 -l (n) 옵션은 "n"레벨을 검사합니다. 에서와 같이, -l 2는 2 레벨을 깊게 검사합니다..
PendMoves는 다음 재부팅시 이동할 파일을 표시합니다.
애플리케이션 설치로 인해 컴퓨터를 재부팅하는 이유를 궁금해 한 적이 있습니까? 대답은 대개 Windows가 실행되는 동안 이동할 수없는 파일을 이동하려는 것이므로 재부팅시 파일 이동 또는 삭제를 처리하는 기본 제공 Windows 기능을 사용합니다.
명령을 실행하면 데이터가 출력됩니다. 다음 재부팅시 Process Explorer 복사본이 Windows 폴더로 이동하도록 예약 된 이유는 무엇입니까? 읽어.
재부팅 할 때 MoveFiles가 시스템 파일을 이동합니다.
이 유틸리티는 내장 된 Windows 기능을 사용하여 파일 또는 디렉토리의 이동, 삭제 또는 이름 바꾸기를 예약하여 Windows가 완전히로드되기 전에 다음 번 재부팅주기 동안 발생하도록합니다. 구문은 정말 간단합니다.
movefile
파일을 삭제하려면 빈 대상을 따옴표를 사용하여 사용할 수 있습니다. movefile "". 아래 스크린 샷에서 볼 수 있듯이 Movefile 명령을 사용하여 프로세스 탐색기의 복사본을 Windows 디렉터리로 이동하여 모든 작업 방법을 보여줍니다.
Junction은 심볼릭 링크를 만듭니다.
Windows는 파일 및 폴더에 대한 심볼릭 링크를 지원하므로 파일의 여러 복사본 대신 공간을 절약하기 위해 동일한 파일을 가리키는 경로가 두 개 이상있을 수 있습니다. 이 아이디어는 파일 시스템 레벨에 있고 NTFS에 내장된다는 점을 제외하면 바로 가기와 비슷합니다..
Junction 유틸리티를 사용하면 이러한 링크를 쉽게 작성하고 삭제할 수 있습니다. 다음을 사용하여 삭제할 수도 있습니다. 정션 -d .
접합
그러나 현실은 Vista가 mklink 명령으로 심볼릭 링크를 만들 수 있었기 때문에 Windows가되었습니다. 대신에 그 중 하나를 사용할 수도 있습니다..
FindLinks가 파일에 대한 하드 링크를 찾습니다.
이 작은 유틸리티는 파일을 가리키는 모든 하드 링크를 찾습니다. 하드 링크는 심볼 링크와 다른 점은 하나의 하드 링크를 삭제해도 하드 링크가 더 많으면 실제로 파일을 삭제하지 않으며 모든 하드 링크를 삭제할 때까지 삭제된다는 것입니다. 최종 하드 링크를 삭제하면 파일이 삭제됩니다..
노트이것은 실제로 파일을 삭제하는 습관을 가진 누군가가 특정 파일을 정말로 삭제하지 않도록하는 흥미로운 방법 일 수 있습니다. 잃어 버리지 않으려는 모든 파일에 대한 하드 링크를 만드십시오..
어쨌든이 명령을 충분히 쉽게 사용할 수 있습니다.
findlinks
유일한 문제는 Windows 7과 8에 동일한 기능을하는 명령이 내장되어 있다는 것입니다. 대신 다음 중 하나를 사용하십시오.
fsutil 하드 링크 목록
노트 : 가능한 경우 내장 된 기능을 사용하는 방법을 배우는 것이 좋습니다. 툴킷이 없을 때 다른 사람의 컴퓨터에서 무엇을해야하는지 알 수 없기 때문입니다..
DiskView는 디스크 구조를 표시합니다.
이 유틸리티를 사용하면 하드 드라이브의 구조를 아주 자세하게 볼 수 있으며 목록에서 강조 표시 할 파일을 선택하여 특정 파일이 드라이브에있는 곳을 볼 수 있습니다. 조각난 지 여부를 확인하십시오. 대부분의 사람들에게별로 도움이되지는 않지만 사용법이 필요한 시나리오가 있습니다..
Disk2vhd는 PC를 가상 하드 드라이브로 변환합니다.
이 유틸리티는 컴퓨터가 실행되는 동안 컴퓨터 하드 드라이브의 복제본을 생성하고 가상 컴퓨터에서 사용할 수있는 가상 하드 드라이브 파일로 모두 묶습니다. 그리고 PC가 작동하는 동안이 작업을 수행합니다..
맞습니다. 컴퓨터가 실행되는 동안 하드 드라이브의 가상 컴퓨터를 만들 수 있습니다. 이것은 또한 컴퓨터의 법의학 분석을 자신의 컴퓨터에서 수행하려는 시나리오에서 유용 할 수 있습니다. 복제본을 만든 다음 가상 컴퓨터로 부팅 할 수 있습니다..
Vhdx에 대한 옵션은 Disk2vhd가 많은 제한이있는 VHD 파일 형식 대신 최신 VHDX 파일 형식을 사용하도록 지시합니다. 기본적으로 Disk2vhd는 각 실제 드라이브에 대해 별도의 파일을 만들지 만 파티션을 같은 파일에 저장합니다. 이 VHD 파일을 다른 가상 컴퓨터에 연결하거나 일반 Windows 컴퓨터에이 VHD 파일을 단순히 연결하려는 경우에는 목록에서 필요하지 않은 파티션의 선택을 취소 할 수 있습니다. 가상 머신을 만들 계획이라면 모든 것을 체크 아웃해야합니다..
VHD 출력 파일은 실제로 복사본을 만들고있는 동일한 드라이브에 배치 할 수 있지만 가능한 경우 두 번째 드라이브를 사용하여 모든 것이 더 빨라지도록하는 것이 좋습니다.
PageDefrag는 더 이상 사용되지 않습니다.
이 유틸리티를 사용하면 부팅 중에 시스템 파일의 조각 모음을 할 수 있지만 최근 버전의 Windows에서는 작동하지 않으므로 건너 뜁니다.
Sync가 캐시 된 데이터를 디스크에 씁니다.
이 유틸리티는 캐시 된 모든 데이터를 디스크에 동기화하여 모든 파일 변경 사항을 드라이브에 기록하고 어딘가에 저장하지 않도록합니다. 물론 플래시 드라이브를 당길 때 데이터가 손실되지 않도록하려면 안전하게 제거 옵션을 사용해야합니다.
실시간 하드 드라이브 활동을 보여주는 디스크 모니터
이 유틸리티는 섹터, 읽기, 쓰기, 데이터 길이 등 실제 하드 드라이브 활동을 실시간으로 보여줍니다. 유일한 문제는 대부분의 사람들에게 끔찍한 도움이되지 않는다는 것입니다..
옵션 메뉴에서 선택할 수있는 디스크 모니터링 "트레이 디스크 표시 등"이 조금 더 유용합니다. 해당 모드를 활성화하면 시스템 트레이로 이동하고 기록 할 때 빨간색으로 깜박이고, 녹색이면 녹색으로 표시되고, 아무 것도 일어나지 않으면 회색으로 유지됩니다.
아이콘이 Windows 8과 조금 더 잘 어울린다면.
VolumeID가 드라이브의 일련 번호를 변경합니다.
혹시 모든 드라이브가 064B-1E81과 같은 일련 번호를 가지고 있거나 똑같이 흥미롭지 않은 것을 보았습니까? 일련 번호를 좀 더 재미있는 것으로 변경하려면 다음 구문과 함께 VolumeID 유틸리티를 사용하여 수행 할 수 있습니다.
volumeid XXXX-XXXX
이 구문에는 16 진수 문자를 사용해야하므로 GEEK-1337을 입력 할 수 없으므로 작동하지 않을 것입니다..
다음 단원
내일 우리는 우리가 놓친 작은 유틸리티의 일부와 모든 도구를 함께 사용하는 것에 대한 지침을 가지고 시리즈를 마무리 할 것입니다. 그리고 각 도구를 꺼내야 할 때.
