Nous avons presque terminé notre série Geek School sur les outils SysInternals. Aujourd'hui, nous allons parler de tous les utilitaires qui vous aident à gérer les fichiers et les dossiers - que vous trouviez des données cachées ou que vous supprimiez un fichier en toute sécurité.
NAVIGATION SCOLAIRE
Quels sont les outils SysInternals et comment les utilisez-vous?
Comprendre Process Explorer
Utilisation de Process Explorer pour résoudre et diagnostiquer
Comprendre le moniteur de processus
Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
Utilisation de BgInfo pour afficher des informations système sur le bureau
Utiliser PsTools pour contrôler d'autres PC à partir de la ligne de commande
Analyse et gestion de vos fichiers, dossiers et lecteurs
Récapitulation et utilisation des outils ensemble
La boîte à outils contient de nombreux utilitaires qui traitent de toutes sortes de choses liées aux fichiers ou aux dossiers ou à la recherche de données que vous ne saviez pas, et quelques-uns sont un peu ridicules. De toute façon, nous allons tous les couvrir.
Les outils les plus importants du kit à connaître sont probablement les utilitaires Sigcheck et Streams, mais il serait sage de les lire attentivement.
Streams recherche et affiche les flux NTFS masqués
La plupart des gens ne connaissent pas cette fonctionnalité, mais Windows vous permet de stocker des données dans un compartiment caché du système de fichiers appelé flux de données alternatifs. Cela fonctionne essentiellement en ajoutant deux points et une clé unique à la fin d'un nom de fichier lors de son interaction.
Par exemple, si vous voulez cacher des données dans un fichier, vous pouvez faire quelque chose comme:echo Secret> nom_fichier.txt: hiddenstuffet même si vous ouvriez ce fichier texte dans le Bloc-notes, vous ne verriez pas le texte «secret» que vous avez ajouté et il n’y aurait aucun autre moyen de savoir qu’il était même là. En fait, vous pouvez faire presque tout ce que vous voulez en utilisant cette technique. (Assurez-vous de lire notre article sur le sujet pour une explication complète).
C'est également la technique qui permet à Windows de savoir comme par magie que des fichiers ont été téléchargés à partir d'Internet en masquant des données à l'intérieur du champ Zone.Identifier. En fait, vous pouvez supprimer cet autre flux de données à l'aide de l'utilitaire Streams.
La syntaxe est simple - pour voir les flux, tapez ce qui suit à l'invite:
streams
Vous pouvez également utiliser «streams *.exe» ou quelque chose du genre pour voir tous les fichiers contenant des données de flux cachées, le cas échéant. Le moyen le plus rapide de voir quelque chose est d'aller dans votre répertoire de téléchargements et de l'exécuter.
Pour supprimer un ou plusieurs flux, vous pouvez utiliser l'option -d:
streams -d
Vous pouvez également utiliser l'option -s pour accéder de manière récursive aux sous-répertoires.
SigCheck analyse les fichiers qui ne sont pas signés numériquement (comme les logiciels malveillants)
Cet utilitaire très utile analyse les signatures numériques de fichiers sur votre système et vous indique si elles sont valides ou si un certificat est manquant. Vous pouvez également l’utiliser pour contrôler les fichiers par rapport à VirusTotal à partir de la ligne de commande, ce qui est pratique, car c’est le véritable objectif de cet outil, qui est de détecter les logiciels malveillants.
La syntaxe normale et la plus utile consiste à ajouter le commutateur -u, qui ne signale que les problèmes, et le commutateur -e, qui vérifie uniquement les fichiers exécutables. Ainsi, vous pouvez exécuter quelque chose comme ceci pour vérifier votre répertoire system32 et vous assurer que tous les fichiers qui y figurent sont signés numériquement. Tout le reste devrait être examiné de très près.
sigcheck -e -u C:WindowsSystem32
Vous pouvez également utiliser l'option -v pour une vérification supplémentaire par rapport à VirusTotal, mais vous devrez utiliser l'option -vt la première fois pour accepter leurs conditions d'utilisation.
sigcheck -v -vt
Image
SDelete supprime les fichiers en toute sécurité
Si vous êtes du type paranoïaque, sachez que vous pouvez effacer en toute sécurité des fichiers de la ligne de commande à tout moment. Utilisez simplement l’utilitaire sdelete pour cogner le fichier avec les protocoles de suppression compatibles DoD. (Bien entendu, la NSA a probablement toujours une copie de votre dossier). La syntaxe est simple:
sdelete
Vous pouvez également nettoyer l’espace libre sur un lecteur à l’aide de la touchesdelete -coption, qui prendra plus de temps, mais est une bonne option si vous avez oublié d’utiliser sdelete pour supprimer le fichier en premier lieu.
Image
Contig défragmente un ou plusieurs fichiers individuels
Si vous souhaitez défragmenter un seul fichier ou une liste de fichiers, vous pouvez utiliser l'utilitaire Contig pour le faire. Bien sûr, vous n'avez pas vraiment besoin de défragmenter les fichiers dans les versions modernes de Windows qui le font automatiquement. Et oui, si vous utilisez un lecteur à état solide, vous ne devez jamais défragmenter ni en avoir besoin. Mais si vous devez absolument défragmenter un seul fichier, c’est l’utilitaire pour le faire. La syntaxe est simple:
contig
Si vous souhaitez analyser la fragmentation d'un fichier sans rien faire, vous pouvez utiliser le commutateur -a comme indiqué ci-dessous:
Il convient de noter que même si un fichier est fragmenté, si le fichier est très volumineux et qu’il n’est divisé en que quelques morceaux volumineux, vous ne gagnerez rien en défragmentant et vous aurez perdu plus de temps à le perdre que vous ne le feriez.
du Shows Utilisation du disque
Vous pouvez toujours cliquer avec le bouton droit de la souris sur un fichier ou un dossier dans l'Explorateur Windows et choisir Propriétés, ou utiliser le raccourci clavier ALT + ENTRÉE pour voir la taille d'un fichier ou d'un dossier.Mais que faire si vous voulez voir ces données à partir de l'invite de commande? C’est là que l’utilitaire duel entre en jeu, et il est aussi un peu plus précis car il ne compte pas les fichiers liés symboliquement, et il vérifie également les autres flux de données.
L'option -n ne vérifie qu'un seul dossier, sans récursir dans les sous-répertoires, tandis que l'option -v effectue une récursion et affiche également chaque répertoire au fur et à mesure de son passage dans la liste, tandis que l'option -l (n) vérifie uniquement «n» niveaux. Comme dans, -2 vérifie 2 niveaux en profondeur.
PendMoves affiche les fichiers en mouvement au prochain redémarrage
Vous êtes-vous déjà demandé pourquoi les applications installées vous obligent à redémarrer votre ordinateur? La réponse est généralement qu’ils souhaitent déplacer certains fichiers qui ne peuvent pas être déplacés lorsque Windows est en cours d’exécution. Ils utilisent donc une fonctionnalité Windows intégrée qui gère le déplacement ou la suppression de fichiers au redémarrage.
La seule chose que vous devez faire est d'exécuter la commande et les données seront sorties. Pourquoi une copie de Process Explorer doit-elle être déplacée dans le dossier Windows lors du prochain redémarrage? Continuer à lire.
Image
MoveFiles déplace les fichiers système lorsque vous redémarrez
Cet utilitaire utilise la fonctionnalité Windows intégrée pour planifier le déplacement, la suppression ou le changement de nom d'un fichier ou d'un répertoire afin que cela se produise lors du prochain cycle de redémarrage, avant que Windows ne soit complètement chargé. La syntaxe est vraiment simple:
movefile
Si vous souhaitez supprimer un fichier, vous pouvez utiliser une destination vide en utilisant des guillemets, commemovefile “”. Comme vous pouvez le voir dans la capture d'écran ci-dessous, nous avons utilisé la commande Movefile pour planifier le transfert d'une copie de l'explorateur de processus dans le répertoire Windows afin d'illustrer son fonctionnement.
Image
La jonction crée des liens symboliques
Windows prend en charge les liens symboliques pour les fichiers et les dossiers. Vous pouvez ainsi faire en sorte que plusieurs chemins pointent vers le même fichier afin d'économiser de l'espace au lieu de disposer de plusieurs copies d'un fichier. L'idée est similaire à celle des raccourcis, sauf que c'est au niveau du système de fichiers et intégré à NTFS.
L'utilitaire Junction vous permet de créer et de supprimer facilement ces liens. Vous pouvez également les supprimer en utilisantjonction -d .
junction
La réalité, toutefois, est que Windows depuis Vista permet de créer des liens symboliques avec la commande mklink. Vous pouvez également utiliser celui-ci à la place.
FindLinks trouve des liens physiques vers des fichiers
Ce petit utilitaire trouve tous les liens matériels pointant vers un fichier. Les liens physiques sont différents des liens symboliques en ce que la suppression d'un lien physique ne supprime pas le fichier s'il y a plus de liens physiques vers ce fichier, il semble simplement le supprimer jusqu'à ce que vous ayez supprimé tous les liens matériels. Une fois que vous avez supprimé le dernier lien physique, le fichier sera supprimé.
Remarque: c’est peut-être un moyen intéressant de s’assurer qu’un fichier particulier n’est pas vraiment supprimé par quelqu'un qui a l'habitude de supprimer des fichiers. Créez simplement un lien dur vers tous les fichiers que vous ne voulez pas qu'ils perdent.
Dans tous les cas, vous pouvez utiliser cette commande assez facilement:
findlinks
Le seul problème est que Windows 7 et 8 ont une commande intégrée qui fait la même chose. Utilisez celui-ci à la place:
fsutil hardlink list
Remarque:Il est toujours préférable d’apprendre à utiliser les éléments intégrés lorsque cela est possible, car vous ne savez jamais quand vous aurez besoin de faire quelque chose sur l’ordinateur de quelqu'un lorsque vous n’avez pas votre boîte à outils.
DiskView affiche la structure du disque
Cet utilitaire vous permet de voir la structure de votre disque dur de manière très détaillée. Vous pouvez même effectuer un zoom avant et sélectionner un fichier à mettre en surbrillance dans la liste afin de voir où se trouve un fichier particulier sur le lecteur. voir si elle est fragmentée ou non. Ce n'est pas très utile pour la plupart des gens, mais j'espère que vous aurez un scénario où vous pourriez avoir besoin de l'utiliser.
Image
Disk2vhd Transforme les PC en disques durs virtuels
Cet utilitaire crée un clone du disque dur de votre ordinateur pendant son fonctionnement et le regroupe dans un fichier de disque dur virtuel pouvant être utilisé sur une machine virtuelle. Et cela pendant que le PC est en marche.
C’est vrai, vous pouvez créer une machine virtuelle sur votre disque dur pendant que votre ordinateur est en marche. Cela pourrait également s'avérer très utile pour les scénarios dans lesquels vous souhaitez effectuer une analyse médico-légale d'une machine mais sur votre propre ordinateur: vous pouvez simplement créer un clone, puis l'initialiser en tant que machine virtuelle.
L'option pour Vhdx indique à Disk2vhd d'utiliser le nouveau format de fichier VHDX au lieu du format de fichier VHD, qui comportait un certain nombre de limitations. Par défaut, Disk2vhd crée des fichiers distincts pour chaque lecteur physique, mais place des partitions dans le même fichier. Si vous envisagez simplement de joindre ce fichier VHD à une autre machine virtuelle, ou même de le monter sur un ordinateur Windows standard, vous pouvez décocher les partitions dont vous n'avez pas besoin dans la liste. Si vous envisagez de créer une machine virtuelle, vous devriez probablement tout laisser coché.
Le fichier de sortie VHD peut en réalité être placé sur le même lecteur que celui que vous copiez, mais nous vous recommandons d’utiliser un deuxième lecteur, si possible, uniquement pour accélérer les choses.
PageDefrag est obsolète
Cet utilitaire vous a permis de défragmenter les fichiers système lors du démarrage, mais comme il ne fonctionne pas sur les versions récentes de Windows, vous devez l'ignorer.
Sync écrit les données en cache sur votre disque
Cet utilitaire synchronise simplement toutes les données mises en cache sur le disque pour s'assurer que toutes les modifications de fichier sont écrites sur le lecteur et non stockées quelque part dans une mémoire tampon. Bien sûr, vous devez utiliser l’option Supprimer en toute sécurité à chaque fois si vous voulez être sûr de ne pas perdre de données lors de l’extraction d’une clé USB.
Image
Disk Monitor vous montre l'activité du disque dur en temps réel
Cet utilitaire affiche l’activité réelle du disque dur en temps réel: secteurs, lectures, écritures, longueur des données, tout y est.Le seul problème est que ce n’est pas très utile pour la plupart des gens.
Ce qui est un peu plus utile, peut-être, est la surveillance du disque «Tray Disk Light» que vous pouvez choisir dans le menu Options. Une fois que vous avez activé ce mode, il se déplacera dans la barre d'état système et clignotera en rouge pour les écritures, vert pour les lectures ou restera gris lorsqu'il ne se passe rien.Si seulement l'icône correspondait à Windows 8 un peu mieux.
VolumeID Modifie le numéro de série du lecteur
Avez-vous déjà remarqué que chaque disque a un numéro de série qui ressemble à 064B-1E81 ou quelque chose d'aussi inintéressant? Si vous voulez changer ce numéro de série en quelque chose de plus amusant, vous pouvez le faire en utilisant l'utilitaire VolumeID avec cette syntaxe:
volumeid XXXX-XXXX
Veuillez noter que la syntaxe nécessite l’utilisation de caractères hexadécimaux. Vous ne pouvez donc pas saisir GEEK-1337 comme nous, car cela ne fonctionnera tout simplement pas.
Image
Prochaine leçon
Demain, nous allons terminer la série en examinant quelques-uns des petits utilitaires que nous avons manqués, ainsi que des indications sur l’utilisation conjointe de tous les outils et sur la date à laquelle vous devriez extraire chaque outil.
Windows Defender n’analyse pas les lecteurs amovibles par défaut, comme les clés USB ou les cartes SD, mais vous pouvez rapidement modifier un paramètre pour que cela se produise automatiquement.
Actions de dossiers pour Windows automatise le processus de création de dossiers et de gestion des fichiers qu'il contient. Il vous permet de copier, déplacer, renommer des fichiers, convertir des fichiers image, audio, vidéo et compresser ou décompresser des fichiers.
Folder Axe for Windows est un programme simple et facile à utiliser qui aide à fractionner des dossiers volumineux et volumineux en plusieurs petits dossiers.
La fonction de compression de fichiers Windows vous permet de compresser des fichiers, des dossiers et un lecteur pour libérer de l'espace disque sous Windows 7. Découvrez comment se comporte le comportement de Compression des fichiers, des dossiers et des lecteurs!
Visual Subst vous permet de monter, de définir, de créer des disques virtuels pour les dossiers, de mapper facilement des disques Google et de les associer à des disques virtuels dans Windows 10.
