Casi hemos terminado con nuestra serie Geek School en SysInternals tools, y hoy hablaremos sobre todas las utilidades que lo ayudan a tratar con archivos y carpetas, ya sea que encuentre datos ocultos o que elimine un archivo de forma segura.

NAVEGACION ESCOLAR
  1. ¿Qué son las herramientas de SysInternals y cómo las usa?
  2. Entendiendo el Explorador de Procesos
  3. Uso de Process Explorer para solucionar problemas y diagnosticar
  4. Comprensión del monitor de proceso
  5. Uso de Process Monitor para solucionar problemas y encontrar trucos de registro
  6. Uso de Autoruns para lidiar con procesos de inicio y Malware
  7. Uso de BgInfo para mostrar información del sistema en el escritorio
  8. Uso de PsTools para controlar otras PC desde la línea de comandos
  9. Analizar y administrar sus archivos, carpetas y unidades
  10. Envolviendo y usando las herramientas juntas

Hay bastantes utilidades en el kit de herramientas que tratan con todo tipo de cosas relacionadas con archivos o carpetas o con la búsqueda de datos que no sabías que estaban allí, y hay algunos que son un poco tontos. De cualquier manera, los cubriremos a todos.

Las herramientas relacionadas con los archivos más importantes que se deben conocer en el kit son probablemente las utilidades Sigcheck y Streams, pero sería prudente leerlas todas cuidadosamente.

Streams encuentra y muestra streams NTFS ocultos

La mayoría de las personas no conocen esta función, pero Windows le permitirá almacenar datos dentro de un compartimiento oculto en el sistema de archivos denominado flujos de datos alternativos. Básicamente, esto funciona agregando dos puntos y una clave única al final de un nombre de archivo al interactuar con él.

Por ejemplo, si desea ocultar algunos datos en un archivo, podría hacer algo comoecho Secret> filename.txt: hiddenstuffe incluso si abrieras ese archivo de texto en el Bloc de notas, no verías el texto "Secreto" que agregaste, y no habría otra manera de saber que estaba ahí. De hecho, puedes hacer casi cualquier cosa que quieras con esta técnica. (Asegúrese de leer nuestro artículo sobre el tema para obtener una explicación completa).

Esta es también la técnica que permite a Windows saber mágicamente que los archivos se han descargado de Internet, ocultando datos dentro del campo Zone.Identifier. De hecho, puede eliminar esta secuencia de datos alternativa utilizando la utilidad Streams.

La sintaxis es simple: para ver las transmisiones, escriba lo siguiente en el indicador:

streams

También puede usar "streams * .exe" o algo así para ver todos los archivos con datos de stream ocultos, si hay alguno. La forma más rápida de ver algo es dirigirse al directorio de descargas y ejecutarlo allí.

Para eliminar una de las secuencias o muchas de ellas, puede usar la opción -d:

streams -d

También puede usar la opción -s para ir a los subdirectorios recursivamente.

SigCheck analiza los archivos que no están firmados digitalmente (como el malware)

Esta utilidad muy útil analiza las firmas digitales de los archivos en su sistema y le dice si son válidos o si faltan un certificado. También puede usarlo para verificar archivos contra VirusTotal desde la línea de comandos, lo cual es conveniente, porque ese es el punto real de esta herramienta, es encontrar malware.

La sintaxis normal y más útil es agregar el modificador -u, que solo informa los problemas, y el modificador -e, que solo verifica los archivos ejecutables. Así que podría ejecutar algo como esto para verificar su directorio system32 y asegurarse de que todos los archivos estén firmados digitalmente. Cualquier otra cosa debe ser examinada muy de cerca.

sigcheck -e -u C:WindowsSystem32

También puede usar la opción -v para una comprobación adicional contra VirusTotal, pero deberá usar la opción -vt la primera vez para aceptar sus términos y condiciones.

sigcheck -v -vt

SDelete elimina de forma segura los archivos

Si eres del tipo paranoico, te alegrará saber que puedes borrar los archivos de la línea de comandos en cualquier momento que desees. Simplemente use la utilidad sdelete para modificar el archivo con los protocolos de eliminación compatibles con DoD. (Por supuesto, la NSA probablemente aún tenga una copia de su archivo). La sintaxis es simple:

sdelete

Alternativamente, puede limpiar el espacio libre en un disco usando elsdelete -copción, que tomará más tiempo, pero es una buena opción si olvidó usar sdelete para eliminar el archivo en primer lugar.

Contig desfragmenta uno o varios archivos individuales

Si desea desfragmentar un solo archivo o una lista de archivos, puede usar la utilidad Contig para hacer eso. Claro, no es necesario desfragmentar los archivos en las versiones modernas de Windows que lo hacen automáticamente. Y sí, si está utilizando una unidad de estado sólido, nunca debe desfragmentar ni necesita hacerlo. Pero si absolutamente, positivamente, debe desfragmentar un solo archivo, esta es la utilidad para hacerlo. La sintaxis es simple:

contig

Si desea analizar la fragmentación de un archivo sin hacer nada, puede usar el interruptor -a como se muestra a continuación:

Vale la pena señalar que incluso si un archivo está fragmentado, si el archivo es muy grande y solo está dividido en algunas piezas grandes, no obtendrá prácticamente nada de la desfragmentación y habrá perdido más tiempo molestándolo con el que ahorraría.

du Muestra el uso del disco

Siempre puede hacer clic con el botón derecho en cualquier archivo o carpeta en el Explorador de Windows y elegir Propiedades, o usar el método abreviado de teclado ALT + ENTRAR para ver el tamaño de un archivo o carpeta.Pero, ¿qué sucede si desea ver esos datos desde el símbolo del sistema? Ahí es donde entra la utilidad du, y también es un poco más preciso porque no cuenta los archivos vinculados simbólicamente, y también verifica flujos de datos alternativos.

La opción -n solo verifica una sola carpeta, sin recurrir a subdirectorios, mientras que la opción -v recuenta y también muestra cada directorio a medida que avanza en la lista, y la opción -l (n) comprueba solo los niveles "n". Como en, -l 2 comprobaría 2 niveles de profundidad.

PendMoves muestra archivos que se mueven en el próximo reinicio

¿Alguna vez te has preguntado por qué las instalaciones de aplicaciones te hacen reiniciar tu computadora? Por lo general, la respuesta es que quieren mover algunos archivos que no se pueden mover mientras se ejecuta Windows, por lo que usan una función integrada de Windows que controla el movimiento o la eliminación de archivos al reiniciar.

Lo único que debe hacer es ejecutar el comando, y se generarán los datos. ¿Por qué está programada una copia de Process Explorer para moverse a la carpeta de Windows en el próximo reinicio? Sigue leyendo

MoveFiles mueve archivos de sistema cuando reinicia

Esta utilidad utiliza la función incorporada de Windows para programar un traslado, eliminación o cambio de nombre de un archivo o directorio para que ocurra durante el próximo ciclo de reinicio, antes de que Windows esté completamente cargado. La sintaxis es realmente simple:

movefile

Si desea eliminar un archivo, puede usar un destino vacío utilizando comillas, comomover archivo “”. Como puede ver en la captura de pantalla a continuación, usamos el comando Movefile para programar una copia del explorador de procesos que se moverá al directorio de Windows para ilustrar cómo funciona todo.

La unión crea enlaces simbólicos

Windows admite enlaces simbólicos para archivos y carpetas, por lo que puede tener más de un punto de ruta al mismo archivo para ahorrar espacio en lugar de tener múltiples copias de un archivo. La idea es similar a los accesos directos, excepto que esto está en el nivel del sistema de archivos y está integrado en NTFS.

La utilidad Junction le permite crear y eliminar estos enlaces fácilmente. También puedes borrarlos usandocruce -d .

junction

Sin embargo, la realidad es que Windows desde Vista ha tenido la capacidad de crear enlaces simbólicos con el comando mklink, y también puede usar ese.

FindLinks encuentra enlaces duros a archivos

Esta pequeña utilidad encuentra todos los enlaces duros que apuntan a un archivo. Los enlaces duros son diferentes de los enlaces simbólicos, ya que eliminar un enlace duro no elimina realmente el archivo si hay más enlaces duros a ese archivo, solo parece que lo elimine hasta que haya eliminado todos los enlaces duros. Una vez que elimines el enlace duro final, el archivo se eliminará.

Nota: esta podría ser una forma interesante de asegurarse de que un archivo en particular no sea eliminado por alguien que tenga la costumbre de eliminar archivos. Simplemente cree un enlace fijo a todos los archivos que no quiere que pierdan.

En cualquier caso, puedes usar este comando fácilmente:

findlinks

El único problema es que Windows 7 y 8 tienen un comando incorporado que hace lo mismo. Use este en su lugar:

fsutil hardlink list

Nota:Siempre es mejor aprender a usar las cosas integradas cuando sea posible, porque nunca se sabe cuándo tendrá que hacer algo en la computadora de otra persona cuando no tenga su kit de herramientas.

DiskView muestra la estructura del disco

Esta utilidad le permite ver la estructura de su disco duro con gran detalle, e incluso puede hacer zoom y seleccionar un archivo para resaltar en la lista, para que pueda ver dónde se encuentra un archivo en particular en la unidad, y también Ver si está fragmentado o no. No es muy útil para la mayoría de las personas, pero es de esperar que tengas un escenario en el que necesites usarlo.

Disk2vhd convierte PC en discos duros virtuales

Esta utilidad crea un clon del disco duro de su computadora mientras se está ejecutando, y lo agrupa todo en un archivo de disco duro virtual que se puede usar en una máquina virtual. Y lo hace mientras se ejecuta la PC.

Así es, puedes crear una máquina virtual de tu disco duro mientras tu computadora está funcionando. Esto también podría ser muy útil para los escenarios en los que desea realizar un análisis forense de una máquina pero en su propia computadora; puede crear un clon y luego iniciarlo como una máquina virtual.

La opción para Vhdx le dice a Disk2vhd que use el formato de archivo VHDX más nuevo en lugar del formato de archivo VHD, que tenía varias limitaciones. Por defecto, Disk2vhd creará archivos separados para cada unidad física, pero colocará las particiones en el mismo archivo. Si simplemente planea adjuntar este archivo VHD a otra máquina virtual, o si simplemente lo monta en una computadora con Windows, puede desactivar las particiones que no necesita en la lista. Si planea hacer una máquina virtual con él, probablemente debería dejar todo revisado.

El archivo de salida VHD puede colocarse en la misma unidad de la que está haciendo una copia, pero le recomendamos que utilice una segunda unidad, si es posible, para que todo vaya más rápido.

PageDefrag es obsoleto

Esta utilidad le permitió desfragmentar los archivos del sistema durante el inicio, pero como no funciona en las versiones recientes de Windows, debe omitirla.

Sincronización escribe datos en caché en su disco

Esta utilidad simplemente sincroniza todos los datos almacenados en caché en el disco para asegurarse de que todos los cambios de archivos se escriban en la unidad y no se almacenen en algún búfer en algún lugar. Por supuesto, debe usar la opción Eliminar de forma segura cada vez que quiera asegurarse de no perder datos cuando extraiga una unidad flash.

Monitor de disco le muestra la actividad del disco duro en tiempo real

Esta utilidad muestra la actividad real del disco duro en tiempo real: sectores, lecturas, escrituras, la longitud de los datos, todo está ahí.El único problema es que no es terriblemente útil para la mayoría de las personas.

Lo que es un poco más útil, tal vez, es el control de disco "Tray Disk Light" que puede elegir en el menú Opciones. Una vez que habilite ese modo, se moverá a la bandeja del sistema y parpadeará en rojo para las escrituras, en verde para las lecturas, o permanecerá en gris cuando no ocurra nada.

Si solo el icono coincida con Windows 8 un poco mejor.

VolumeID cambia el número de serie de la unidad

¿Alguna vez ha notado que cada unidad tiene un número de serie que parece 064B-1E81 o algo que no es interesante? Si desea cambiar ese número de serie a algo más divertido, puede hacerlo utilizando la utilidad VolumeID con esta sintaxis:

volumeid XXXX-XXXX

Tenga en cuenta que la sintaxis requiere el uso de caracteres hexadecimales, por lo que no puede escribir GEEK-1337 como lo hicimos nosotros, porque simplemente no funcionará.

Siguiente lección

Mañana concluiremos la serie con una mirada a algunas de las pequeñas utilidades que perdimos, así como algunas pautas sobre cómo usar todas las herramientas juntas y cuándo debe sacar cada una de ellas.

Los Mejores Consejos:
Comentarios: