تحليل وإدارة الملفات والمجلدات ومحركات الأقراص



لقد انتهينا تقريبًا من سلسلة Geek School حول أدوات SysInternals ، وسنتحدث اليوم عن جميع الأدوات المساعدة التي تساعدك في التعامل مع الملفات والمجلدات - سواء كنت تبحث عن بيانات مخفية أو تحذف ملفًا بشكل آمن.

الملاحة المدرسية
  1. ما هي أدوات SysInternals وكيف تستخدمها؟
  2. فهم مستكشف العمليات
  3. استخدام Process Explorer لاستكشاف الأخطاء وإصلاحها والتشخيص
  4. فهم مراقب العملية
  5. استخدام مراقب العمليات لاستكشاف الأخطاء وإصلاحها والعثور على المأجورون في التسجيل
  6. استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
  7. استخدام BgInfo لعرض معلومات النظام على سطح المكتب
  8. استخدام PsTools للتحكم في أجهزة الكمبيوتر الأخرى من سطر الأوامر
  9. تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
  10. اختتام واستخدام الأدوات معًا

هناك عدد غير قليل من الأدوات المساعدة في مجموعة الأدوات التي تتعامل مع جميع أنواع الأشياء المتعلقة بالملفات أو المجلدات أو العثور على البيانات التي لم تكن تعلم بوجودها ، وهناك القليل منها على الجانب السخيف. في كلتا الحالتين ، سنغطيهم جميعًا.





من المحتمل أن تكون أهم الأدوات المتعلقة بالملفات في المجموعة للتعرف عليها هي أدوات Sigcheck و Streams ، ولكن سيكون من الحكمة قراءتها جميعًا بعناية.

تيارات يبحث عن ويعرض تدفقات NTFS المخفية

لا يعرف معظم الأشخاص عن هذه الميزة ، ولكن Windows سيتيح لك ذلك كيفية إخفاء البيانات في حجرة ملف نصي سري



على سبيل المثال ، إذا أردت إخفاء بعض البيانات في ملف ، فيمكنك فعل شيء مثل echo Secret> filename.txt: hiddenstuff وحتى إذا فتحت هذا الملف النصي في Notepad ، فلن ترى النص السري الذي أضفته ، ولن تكون هناك طريقة أخرى لمعرفة أنه كان موجودًا حتى. في الواقع ، يمكنك فعل أي شيء تريده تقريبًا باستخدام هذه التقنية. (تأكد من معرفة أن الملفات قد تم تنزيلها من الإنترنت بطريقة سحرية ، عن طريق إخفاء البيانات داخل حقل Zone.Identifier. في الواقع ، يمكنك حذف دفق البيانات البديل هذا باستخدام الأداة المساعدة Streams.

بناء الجملة بسيط - لمشاهدة التدفقات ، اكتب ما يلي في الموجه:

تيارات



الإعلانات

يمكنك أيضًا استخدام الدفق * .exe أو شيء من هذا القبيل لمشاهدة جميع الملفات التي تحتوي على بيانات دفق مخفية ، إن وجدت. أسرع طريقة لرؤية شيء ما هي التوجه إلى دليل التنزيلات وتشغيله هناك.

لحذف أحد التدفقات أو العديد منها ، يمكنك استخدام الخيار -d:

تيارات د

يمكنك أيضًا استخدام الخيار -s للانتقال إلى الدلائل الفرعية بشكل متكرر.

يحلل SigCheck الملفات التي لم يتم التوقيع عليها رقميًا (مثل البرامج الضارة)

تحلل هذه الأداة المفيدة للغاية التوقيعات الرقمية للملفات على نظامك وتخبرك ما إذا كانت صالحة أو مفقودة من الشهادة. يمكنك أيضًا استخدامه لفحص الملفات مقابل VirusTotal من سطر الأوامر ، وهو أمر ملائم ، لأن النقطة الحقيقية لهذه الأداة ، هي العثور على البرامج الضارة.

الصيغة العادية والأكثر فائدة هي إضافة رمز التبديل -u ، الذي يبلغ عن المشكلات فقط ، والمفتاح -e ، الذي يتحقق فقط من الملفات القابلة للتنفيذ. لذلك يمكنك تشغيل شيء مثل هذا للتحقق من دليل system32 الخاص بك والتأكد من أن جميع الملفات هناك موقعة رقميًا. يجب فحص أي شيء آخر عن كثب.

sigcheck -e -u C: Windows System32

يمكنك أيضًا استخدام الخيار -v لإجراء فحص إضافي مقابل VirusTotal ، ولكنك ستحتاج إلى استخدام الخيار -vt في المرة الأولى لقبول الشروط والأحكام الخاصة بهم.

sigcheck -v -vt

SDelete يحذف الملفات بشكل آمن

إذا كنت من النوع المصاب بجنون العظمة ، فسيسعدك معرفة أنه يمكنك مسح الملفات بأمان من سطر الأوامر في أي وقت تريده. ما عليك سوى استخدام الأداة المساعدة sdelete لاختراق الملف باستخدام بروتوكولات الحذف المتوافقة مع DoD. (بالطبع لا يزال لدى وكالة الأمن القومي نسخة من ملفك). بناء الجملة بسيط:

sdelete

الإعلانات

يمكنك بدلاً من ذلك تنظيف المساحة الخالية على محرك الأقراص باستخدام ملف sdelete -c الخيار ، والذي سيستغرق وقتًا أطول ، ولكنه خيار جيد إذا نسيت استخدام sdelete لإزالة الملف في المقام الأول.

Contig Defragments ملف واحد أو أكثر من الملفات الفردية

إذا كنت تريد إلغاء تجزئة ملف واحد فقط ، أو قائمة ملفات ، فيمكنك استخدام الأداة المساعدة Contig للقيام بذلك. بالتأكيد ، لا تحتاج حقًا إلى إلغاء تجزئة الملفات في الإصدارات الحديثة من Windows التي تقوم بذلك تلقائيًا. ونعم ، إذا كنت تستخدم محرك أقراص مزود بذاكرة مصنوعة من مكونات صلبة ، فلا يجب عليك إلغاء التجزئة ولا تحتاج إلى ذلك. ولكن إذا كان عليك بالتأكيد ، بشكل إيجابي ، إلغاء تجزئة ملف واحد ، فهذه هي الأداة المساعدة للقيام بذلك. بناء الجملة بسيط:

كونتيج

إذا كنت تريد تحليل تجزئة ملف دون فعل أي شيء فعليًا ، فيمكنك استخدام مفتاح التبديل -a كما هو موضح أدناه:

من الجدير بالذكر أنه حتى إذا كان الملف مجزأًا ، إذا كان الملف كبيرًا جدًا وتم تقسيمه إلى بضع قطع كبيرة فقط ، فلن تكسب شيئًا أساسيًا من إلغاء التجزئة وستضيع وقتًا في الإزعاج به أكثر مما قد توفره.

تعرض du استخدام القرص

يمكنك دائمًا النقر بزر الماوس الأيمن فوق أي ملف أو مجلد في مستكشف Windows واختيار خصائص ، أو استخدام اختصار لوحة المفاتيح ALT + ENTER لمعرفة حجم الملف أو المجلد. ولكن ماذا لو كنت تريد رؤية تلك البيانات من موجه الأوامر؟ هذا هو المكان الذي تأتي فيه أداة du المساعدة ، وهي أيضًا أكثر دقة قليلاً لأنها لا تحسب الملفات المرتبطة الرمزية ، كما أنها تتحقق من تدفقات البيانات البديلة أيضًا.

الإعلانات

يتحقق الخيار -n فقط من مجلد واحد ، دون الرجوع إلى الدلائل الفرعية ، بينما يتكرر الخيار -v ويعرض أيضًا كل دليل أثناء مروره عبر القائمة ، ويتحقق الخيار -l (n) من مستوى n فقط بعمق. كما هو الحال في -l 2 ، سيتحقق من مستويين بعمق.

يعرض PendMoves نقل الملفات عند إعادة التشغيل التالي

هل سبق لك وتسائلت لماذا تجعلك عمليات تثبيت التطبيق تعيد تشغيل جهاز الكمبيوتر الخاص بك ؟ الإجابة هي عادةً أنهم يريدون نقل بعض الملفات التي لا يمكن نقلها أثناء تشغيل Windows ، لذلك يستخدمون ميزة Windows المضمنة التي تتعامل مع نقل الملفات أو حذفها عند إعادة التشغيل.

الشيء الوحيد الذي عليك القيام به هو تشغيل الأمر ، وسيقوم بإخراج البيانات. لماذا تمت جدولة نسخة من Process Explorer للانتقال إلى مجلد Windows عند إعادة التشغيل التالية؟ واصل القراءة.

ينقل MoveFiles ملفات النظام عند إعادة التشغيل

تستخدم هذه الأداة المساعدة ميزة Windows المضمنة لجدولة نقل أو حذف أو إعادة تسمية ملف أو دليل بحيث يحدث ذلك أثناء دورة إعادة التشغيل التالية ، قبل تحميل Windows بالكامل. التركيب اللغوي بسيط حقًا:

انقل الملف

إذا كنت تريد حذف ملف ، فيمكنك استخدام وجهة فارغة باستخدام علامات الاقتباس ، مثل انقل الملف . كما ترى في لقطة الشاشة أدناه ، استخدمنا الأمر Movefile لجدولة نسخة من مستكشف العمليات ليتم نقلها إلى دليل Windows لتوضيح كيفية عمل كل شيء.

يُنشئ Junction روابط رمزية

ذات صلة: الدليل الكامل لإنشاء روابط رمزية (ويعرف أيضًا باسم الارتباطات الرمزية) على Windows

يدعم Windows الارتباطات الرمزية للملفات والمجلدات ، بحيث يمكنك الحصول على أكثر من نقطة مسار واحدة لنفس الملف لتوفير مساحة بدلاً من وجود نسخ متعددة من الملف. الفكرة مشابهة للاختصارات ، باستثناء أنها على مستوى نظام الملفات ومضمنة في NTFS.

الإعلانات

تتيح لك الأداة المساعدة Junction إنشاء هذه الروابط وحذفها بسهولة. يمكنك أيضًا حذفها باستخدام مفرق د.

تقاطع طرق

ومع ذلك ، فإن الحقيقة هي أن نظام التشغيل Windows منذ نظام Vista لديه القدرة على إنشاء روابط رمزية باستخدام الأمر mklink ، ويمكنك أيضًا استخدام ذلك بدلاً من ذلك.

FindLinks يعثر على روابط صلبة للملفات

تجد هذه الأداة الصغيرة جميع الروابط الثابتة التي تشير إلى ملف. تختلف الروابط الصلبة عن الروابط الرمزية في أن حذف رابط صلب واحد لا يؤدي في الواقع إلى حذف الملف إذا كان هناك المزيد من الروابط الثابتة لهذا الملف ، ويبدو أنه يقوم بحذفه حتى تقوم بحذف جميع الروابط الصلبة. بمجرد حذف الرابط الصلب الأخير ، سيتم حذف الملف.

ملحوظة : قد يكون هذا في الواقع طريقة مثيرة للاهتمام للتأكد من أن ملفًا معينًا لا يتم حذفه بالفعل من قبل شخص لديه عادة حذف الملفات. ما عليك سوى إنشاء رابط ثابت لجميع الملفات التي لا تريد أن يفقدوها.

على أي حال ، يمكنك استخدام هذا الأمر بسهولة كافية:

findlinks

المشكلة الوحيدة هي أن نظامي Windows 7 و 8 بهما أمر مضمن يقوم بنفس الشيء. استخدم هذا بدلاً من ذلك:

قائمة fsutil hardlink

الإعلانات

ملحوظة: من الأفضل دائمًا تعلم استخدام العناصر المضمنة عندما يكون ذلك ممكنًا ، لأنك لا تعرف أبدًا متى ستحتاج إلى القيام بشيء ما على كمبيوتر شخص آخر عندما لا يكون لديك مجموعة أدواتك.

يعرض DiskView بنية القرص

تتيح لك هذه الأداة المساعدة رؤية بنية محرك الأقراص الثابتة لديك بتفاصيل كبيرة ، ويمكنك حتى التكبير بالكامل واختيار ملف لتمييزه في القائمة ، حتى تتمكن من معرفة مكان وجود ملف معين على محرك الأقراص ، وأيضًا انظر ما إذا كانت مجزأة أم لا. إنها ليست مفيدة بشكل رهيب لمعظم الناس ، ولكن نأمل أن يكون لديك سيناريو حيث قد تحتاج إلى استخدامه.

Disk2vhd يحول أجهزة الكمبيوتر إلى محركات أقراص ثابتة افتراضية

تقوم هذه الأداة بإنشاء نسخة من محرك الأقراص الثابتة بجهاز الكمبيوتر الخاص بك أثناء تشغيله ، وتقوم بتجميعها كلها في ملف محرك أقراص ثابت افتراضي يمكن استخدامه في جهاز افتراضي. ويقوم بذلك أثناء تشغيل الكمبيوتر.

هذا صحيح ، يمكنك إنشاء جهاز افتراضي لمحرك الأقراص الثابتة أثناء تشغيل الكمبيوتر. قد يكون هذا مفيدًا أيضًا للسيناريوهات التي تريد فيها إجراء بعض التحليل الجنائي لجهاز ما ولكن على جهاز الكمبيوتر الخاص بك - يمكنك فقط إنشاء نسخة ثم تشغيلها كجهاز افتراضي بدلاً من ذلك.

يخبر خيار Vhdx Disk2vhd باستخدام تنسيق ملف VHDX الأحدث بدلاً من تنسيق ملف VHD ، والذي كان به عدد من القيود. بشكل افتراضي ، سينشئ Disk2vhd ملفات منفصلة لكل محرك أقراص فعلي ، ولكن يضع أقسامًا في نفس الملف. إذا كنت تخطط ببساطة لإرفاق ملف VHD هذا بجهاز افتراضي آخر ، أو حتى مجرد تحميله على جهاز كمبيوتر عادي يعمل بنظام Windows ، فيمكنك إلغاء تحديد الأقسام التي لا تحتاجها في القائمة. إذا كنت تخطط لإخراج جهاز افتراضي منه ، فمن المحتمل أن تترك كل شيء محددًا.

الإعلانات

يمكن وضع ملف الإخراج VHD بالفعل على نفس محرك الأقراص الذي تقوم بعمل نسخة منه ، لكننا نوصي باستخدام محرك أقراص ثانٍ إن أمكن فقط لجعله يعمل بشكل أسرع.

PageDefrag مهمل

سمحت لك هذه الأداة بإلغاء تجزئة ملفات النظام أثناء التمهيد ، ولكن نظرًا لأنها لا تعمل على الإصدارات الحديثة من Windows ، فيجب عليك تخطيها.

تزامن يكتب البيانات المخزنة مؤقتًا على القرص الخاص بك

تقوم هذه الأداة ببساطة بمزامنة جميع البيانات المخزنة مؤقتًا إلى القرص للتأكد من كتابة جميع تغييرات الملفات على محرك الأقراص وعدم تخزينها في مخزن مؤقت في مكان ما. طبعا انت يجب استخدام خيار الإزالة بأمان في كل مرة إذا كنت تريد التأكد من أنك لن تفقد البيانات عند سحب محرك أقراص فلاش.

تعرض شاشة القرص نشاط محرك الأقراص الثابتة في الوقت الفعلي

تعرض هذه الأداة النشاط الفعلي للقرص الصلب الذي يحدث في الوقت الفعلي - القطاعات ، والقراءات ، والكتابة ، وطول البيانات ، وكل ذلك هناك. المشكلة الوحيدة هي أنها ليست مفيدة بشكل رهيب لمعظم الناس.

ما هو أكثر فائدة ، ربما ، هو Tray Disk Light لمراقبة القرص الذي يمكنك الاختيار من قائمة الخيارات. بمجرد تمكين هذا الوضع ، سينتقل إلى علبة النظام ويومض باللون الأحمر للكتابة ، والأخضر للقراءات ، أو يظل باللون الرمادي عندما لا يحدث شيء.

إذا كان الرمز فقط يتطابق مع Windows 8 بشكل أفضل قليلاً.

يغير VolumeID الرقم التسلسلي لمحرك الأقراص

هل سبق لك أن لاحظت كيف أن كل محرك أقراص يحتوي على رقم تسلسلي يشبه 064B-1E81 أو شيئًا غير ممتع بنفس القدر؟ إذا كنت تريد تغيير هذا الرقم التسلسلي إلى شيء أكثر إمتاعًا ، فيمكنك القيام بذلك باستخدام الأداة المساعدة VolumeID مع بناء الجملة التالي:

حجم XXXX-XXXX

الإعلانات

يرجى ملاحظة أن بناء الجملة يتطلب استخدام أحرف سداسية عشرية ، لذلك لا يمكنك الكتابة في GEEK-1337 كما فعلنا ، لأنه لا يعمل.

الدرس التالي

سنختتم السلسلة غدًا بإلقاء نظرة على بعض الأدوات المساعدة الصغيرة التي فاتتنا ، بالإضافة إلى بعض الإرشادات حول استخدام جميع الأدوات معًا ، ومتى يجب عليك سحب كل أداة.

اقرأ التالي
  • & [رسقوو] ؛ مجلد الكمبيوتر هو 40: كيف أنشأت شركة Xerox Star سطح المكتب
  • & [رسقوو] ؛ Cyber ​​Monday 2021: أفضل العروض التقنية
  • & [رسقوو] ؛ الدالات مقابل الصيغ في Microsoft Excel: ما الفرق؟
  • & [رسقوو] ؛ ما هو MIL-SPEC Drop Protection؟
  • & [رسقوو] ؛ كيفية البحث عن ملف Spotify 2021 الخاص بك
  • & [رسقوو] ؛ 5 مواقع ويب يجب على كل مستخدم Linux وضع إشارة مرجعية عليها
صورة الملف الشخصي لـ Lowell Heddings حفلات لويل
لويل هو المؤسس والرئيس التنفيذي لشركة How-To Geek. يدير العرض منذ إنشاء الموقع في عام 2006. وعلى مدار العقد الماضي ، كتب لويل شخصيًا أكثر من 1000 مقالة شاهدها أكثر من 250 مليون شخص. قبل بدء برنامج How-To Geek ، أمضى لويل 15 عامًا في العمل في مجال تكنولوجيا المعلومات لإجراء الاستشارات والأمن السيبراني وإدارة قواعد البيانات وأعمال البرمجة.
اقرأ السيرة الذاتية الكاملة

مقالات مثيرة للاهتمام