Casi hemos terminado con nuestra serie Geek School sobre herramientas SysInternals, y hoy vamos a hablar sobre todas las utilidades que lo ayudan a lidiar con archivos y carpetas, ya sea que busque datos ocultos o elimine un archivo de forma segura.



NAVEGACIÓN ESCOLAR
  1. ¿Qué son las herramientas de SysInternals y cómo se utilizan?
  2. Comprensión del Explorador de procesos
  3. Uso de Process Explorer para solucionar problemas y diagnosticar
  4. Entendiendo el Monitor de Procesos
  5. Uso de Process Monitor para solucionar problemas y encontrar hacks de registro
  6. Uso de Autoruns para lidiar con procesos de inicio y malware
  7. Uso de BgInfo para mostrar información del sistema en el escritorio
  8. Uso de PsTools para controlar otras PC desde la línea de comandos
  9. Analizar y administrar sus archivos, carpetas y unidades
  10. Conclusión y uso de las herramientas juntos

Hay bastantes utilidades en el kit de herramientas que se ocupan de todo tipo de cosas relacionadas con archivos o carpetas o con la búsqueda de datos que no sabías que estaban allí, y hay algunas que son un poco tontas. De cualquier manera, los cubriremos todos.

Las herramientas relacionadas con archivos más importantes del kit que debe conocer son probablemente las utilidades Sigcheck y Streams, pero sería aconsejable leerlas todas con atención.

Streams Encuentra y muestra streams NTFS ocultos

La mayoría de la gente no conoce esta función, pero Windows le permitirá Cómo ocultar datos en un compartimento de archivos de texto secreto

Por ejemplo, si desea ocultar algunos datos en un archivo, puede hacer algo como echo Secret> nombre de archivo.txt: hiddenstuff e incluso si abriera ese archivo de texto en el Bloc de notas, no vería el texto secreto que agregó, y no habría otra forma de saber que estaba allí. De hecho, puede hacer casi todo lo que quiera con esta técnica. (Asegúrese de saber mágicamente que los archivos se han descargado de Internet, ocultando los datos dentro del campo Zone.Identifier. De hecho, puede eliminar este flujo de datos alternativo utilizando la utilidad Streams.

La sintaxis es simple: para ver las transmisiones, escriba lo siguiente en el indicador:

arroyos

Anuncio publicitario

También puede usar streams * .exe o algo así para ver todos los archivos con datos de stream ocultos, si los hay. La forma más rápida de ver algo es dirigirse a su directorio de descargas y ejecutarlo allí.

Para eliminar uno de los flujos o muchos de ellos, puede usar la opción -d:

corrientes -d

eliminar la protección con contraseña de pdf

También puede utilizar la opción -s para ir a subdirectorios de forma recursiva.

SigCheck analiza archivos que no están firmados digitalmente (como software malicioso)

Esta utilidad muy útil analiza las firmas digitales de los archivos de su sistema y le indica si son válidos o si les falta un certificado. También puede usarlo para comparar archivos con VirusTotal desde la línea de comandos, lo cual es conveniente, porque ese es el objetivo real de esta herramienta, es encontrar malware.

La sintaxis normal y más útil es agregar el modificador -u, que solo informa de problemas, y el modificador -e, que solo verifica archivos ejecutables. Entonces podría ejecutar algo como esto para verificar su directorio system32 y asegurarse de que todos los archivos estén firmados digitalmente. Cualquier otra cosa debe examinarse muy de cerca.

sigcheck -e -u C: Windows System32

También puede usar la opción -v para una verificación adicional contra VirusTotal, pero deberá usar la opción -vt la primera vez para aceptar sus términos y condiciones.

sigcheck -v -vt

SDelete elimina archivos de forma segura

Si eres del tipo paranoico, te alegrará saber que puedes borrar archivos de forma segura desde la línea de comandos en cualquier momento que quieras. Simplemente use la utilidad sdelete para golpear el archivo con protocolos de eliminación compatibles con DoD. (Por supuesto, la NSA probablemente todavía tenga una copia de su archivo). La sintaxis es simple:

borrar

Anuncio publicitario

Alternativamente, puede limpiar el espacio libre en una unidad usando el sdelete -c opción, que llevará más tiempo, pero es una buena opción si olvidó usar sdelete para eliminar el archivo en primer lugar.

Contig desfragmenta uno o varios archivos individuales

Si desea desfragmentar un solo archivo o una lista de archivos, puede usar la utilidad Contig para hacerlo. Claro, no es necesario desfragmentar archivos en las versiones modernas de Windows que lo hacen automáticamente. Y sí, si está utilizando una unidad de estado sólido, nunca debe desfragmentar ni es necesario. Pero si absolutamente, positivamente, debe desfragmentar un solo archivo, esta es la utilidad para hacerlo. La sintaxis es simple:

contig

Si desea analizar la fragmentación de un archivo sin hacer nada, puede usar el modificador -a como se muestra a continuación:

Vale la pena señalar que incluso si un archivo está fragmentado, si el archivo es muy grande y solo está dividido en algunas partes grandes, esencialmente no obtendrá nada con la desfragmentación y habrá perdido más tiempo en molestarse con él del que ahorraría.

du muestra el uso del disco

Siempre puede hacer clic con el botón derecho en cualquier archivo o carpeta en el Explorador de Windows y elegir Propiedades, o usar el método abreviado de teclado ALT + ENTRAR para ver el tamaño de un archivo o carpeta. Pero, ¿qué pasa si desea ver esos datos desde el símbolo del sistema? Ahí es donde entra la utilidad du, y también es un poco más precisa porque no cuenta los archivos vinculados simbólicos y también verifica los flujos de datos alternativos.

Anuncio publicitario

La opción -n solo verifica una sola carpeta, sin recurrir a subdirectorios, mientras que la opción -v se repite y también muestra cada directorio a medida que pasa por la lista, y la opción -l (n) verifica solo n niveles de profundidad. Como en, -l 2 marcaría 2 niveles de profundidad.

PendMoves muestra los archivos que se mueven en el siguiente reinicio

Alguna vez te has preguntado por qué la instalación de la aplicación hace que reinicie su computadora ? Por lo general, la respuesta es que quieren mover algunos archivos que no se pueden mover mientras Windows se está ejecutando, por lo que usan una función incorporada de Windows que maneja el movimiento o la eliminación de archivos al reiniciar.

Lo único que debe hacer es ejecutar el comando y generará los datos. ¿Por qué está programada una copia de Process Explorer para moverse a la carpeta de Windows en el próximo reinicio? Sigue leyendo.

MoveFiles mueve los archivos del sistema cuando reinicia

Esta utilidad utiliza la función incorporada de Windows para programar un movimiento, eliminación o cambio de nombre de un archivo o directorio para que suceda durante el siguiente ciclo de reinicio, antes de que Windows esté completamente cargado. La sintaxis es realmente simple:

movefile

Si desea eliminar un archivo, puede usar un destino vacío usando comillas, como movefile. Como puede ver en la captura de pantalla a continuación, usamos el comando Movefile para programar una copia del explorador de procesos para que se mueva al directorio de Windows para ilustrar cómo funciona todo.

La unión crea vínculos simbólicos

RELACIONADO: La guía completa para crear enlaces simbólicos (también conocidos como enlaces simbólicos) en Windows

Windows admite enlaces simbólicos para archivos y carpetas, por lo que puede tener más de un punto de ruta al mismo archivo para ahorrar espacio en lugar de tener varias copias de un archivo. La idea es similar a los accesos directos, excepto que está en el nivel del sistema de archivos y está integrado en NTFS.

Anuncio publicitario

La utilidad Junction le permite crear y eliminar estos enlaces fácilmente. También puede eliminarlos usando cruce -d.

unión

La realidad, sin embargo, es que Windows desde Vista ha tenido la capacidad de crear enlaces simbólicos con el comando mklink , y también puede usar ese en su lugar.

FindLinks encuentra enlaces duros a archivos

Esta pequeña utilidad encuentra todos los enlaces duros que apuntan a un archivo. Los enlaces físicos son diferentes de los enlaces simbólicos en que eliminar un enlace físico en realidad no elimina el archivo si hay más enlaces físicos a ese archivo, simplemente parece eliminarlo hasta que haya eliminado todos los enlaces físicos. Una vez que elimine el enlace duro final, se eliminará el archivo.

Nota : esta podría ser una forma interesante de asegurarse de que un archivo en particular no sea realmente eliminado por alguien que tenga el hábito de eliminar archivos. Simplemente cree un vínculo físico a todos los archivos que no desea que se pierdan.

En cualquier caso, puede usar este comando con bastante facilidad:

enlaces de búsqueda

El único problema es que Windows 7 y 8 tienen un comando integrado que hace lo mismo. Utilice este en su lugar:

lista fsutil hardlink

Anuncio publicitario

Nota: Siempre es mejor aprender a usar las cosas integradas cuando sea posible, porque nunca se sabe cuándo necesitará hacer algo en la computadora de otra persona cuando no tiene su kit de herramientas.

DiskView muestra la estructura del disco

Esta utilidad le permite ver la estructura de su disco duro con gran detalle, e incluso puede acercar y elegir un archivo para resaltarlo en la lista, de modo que pueda ver dónde está un archivo en particular en el disco, y también ver si está fragmentado o no. No es muy útil para la mayoría de las personas, pero es de esperar que tenga un escenario en el que podría necesitar usarlo.

Disk2vhd convierte las PC en discos duros virtuales

Esta utilidad crea un clon del disco duro de su computadora mientras se está ejecutando y lo agrupa todo en un archivo de disco duro virtual que se puede usar en una máquina virtual. Y lo hace mientras la PC está funcionando.

Así es, puede crear una máquina virtual de su disco duro mientras su computadora está funcionando. Esto también podría ser realmente útil para escenarios en los que desea realizar un análisis forense de una máquina pero en su propia computadora; podría simplemente crear un clon y luego iniciarlo como una máquina virtual.

La opción para Vhdx le dice a Disk2vhd que use el formato de archivo VHDX más nuevo en lugar del formato de archivo VHD, que tenía una serie de limitaciones. De forma predeterminada, Disk2vhd creará archivos separados para cada unidad física, pero colocará particiones en el mismo archivo. Si simplemente planea adjuntar este archivo VHD a otra máquina virtual, o incluso simplemente montarlo en una computadora Windows normal, puede desmarcar las particiones que no necesita en la lista. Si planeas convertirlo en una máquina virtual, probablemente deberías dejar todo marcado.

Anuncio publicitario

El archivo de salida VHD se puede colocar en la misma unidad de la que está haciendo una copia, pero recomendamos usar una segunda unidad si es posible solo para que todo vaya más rápido.

PageDefrag es obsoleto

Esta utilidad le permitió desfragmentar los archivos del sistema durante el arranque, pero como no funciona en versiones recientes de Windows, debe omitirla.

cómo usar archivos xml

Sync escribe datos en caché en su disco

Esta utilidad simplemente sincroniza todos los datos almacenados en caché en el disco para asegurarse de que todos los cambios de archivo se escriban en la unidad y no se almacenen en algún búfer en algún lugar. Por supuesto tú debe usar la opción Quitar con seguridad cada vez si desea asegurarse de no perder datos al extraer una unidad flash.

El monitor de disco le muestra la actividad del disco duro en tiempo real

Esta utilidad muestra la actividad real del disco duro en tiempo real: sectores, lecturas, escrituras, la longitud de los datos, todo está ahí. El único problema es que no es muy útil para la mayoría de las personas.

Lo que es un poco más útil, tal vez, es el control de disco Tray Disk Light que puede elegir en el menú Opciones. Una vez que habilite ese modo, se moverá a la bandeja del sistema y parpadeará en rojo para las escrituras, en verde para las lecturas o permanecerá gris cuando no suceda nada.

Si solo el ícono coincidiera con Windows 8 un poco mejor.

VolumeID cambia el número de serie de la unidad

¿Alguna vez ha notado que cada unidad tiene un número de serie que parece 064B-1E81 o algo igualmente poco interesante? Si desea cambiar ese número de serie por algo más divertido, puede hacerlo usando la utilidad VolumeID con esta sintaxis:

volumeid XXXX-XXXX

Anuncio publicitario

Tenga en cuenta que la sintaxis requiere el uso de caracteres hexadecimales, por lo que no puede escribir GEEK-1337 como lo hicimos nosotros, porque simplemente no funcionará.

Siguiente lección

Mañana vamos a concluir la serie con un vistazo a algunas de las pequeñas utilidades que nos perdimos, así como una guía sobre cómo usar todas las herramientas juntas y cuándo debería sacar cada herramienta.

LEER SIGUIENTE
  • › The Computer Folder Is 40: Cómo Xerox Star creó el escritorio
  • Cyber ​​Monday 2021: las mejores ofertas tecnológicas
  • › Funciones frente a fórmulas en Microsoft Excel: ¿Cuál es la diferencia?
  • › ¿Qué es la protección contra caídas MIL-SPEC?
  • › Cómo encontrar su Spotify Wrapped 2021
  • › 5 sitios web que todo usuario de Linux debería marcar