文章总结： 文档介绍了Windows文件搜索工具Everything，解析其基于NTFS元数据快速索引的原理。内容涵盖基础搜索语法、正则表达式与批量重命名等进阶技巧，并通过办公检索、应急响应时间线还原及安全审计中的敏感文件排查等实战案例，展示了其在提升工作效率与安全工作流中的价值。建议配置快捷键与排除无效目录以优化体验。 综合评分： 92 文章分类： 安全工具,应急响应,代码审计,实战经验

4.2 常用过滤器

• • 扩展名：ext:pdf 或 *.pdf。
• • 时间范围：dm:2025/03/01..2025/03/07。
• • 大小过滤：size:>100mb。

4.3 组合技与高频用法

• • 找最近一周改过的压缩包：ext:zip;rar dm:last7days
• • 找大于 1 GB 的镜像文件：ext:iso size:>1gb
• • 同一属性多值：用分号 ; 效率更高，如 ext:jpg;png;gif。

5. 高阶技巧：正则与批量重命名

5.1 正则表达式 (Ctrl + R)

当命名有规律时，正则能实现精准提取：

• • 匹配日志文件：^access_2026-\d{2}-\d{2}\.log$，如：access_2026-01-01.log。
• • 匹配所有 .js 文件，但排除 .min.js 文件，可指定特定目录。：(?!.*\.min\.js$).*\.js$

需选中正则表达式搜索，默认是匹配变音标记。

c0ee765678e8df1ef741e20a1cd24ede_MD5

5.2 批量重命名 (F2)

选中文件后按下 F2 或 文件-重命名，支持正则替换和序号自动生成，是整理大量素材文件的神器。

e11d6fc70f1f07368684c803cf8dc49d_MD5

6. 实战案例：从办公到安全

场景一：版本追踪 (办公)

忘记报价单位置，只记得 2024 下半年改过：报价|Offer ext:doc;xlsx dm:2024/07/01..2024/12/31。

场景二：时间线还原 (应急响应)

排查文件落地异常，锁定疑似时间窗口：dm:2026/03/07 14:00..2026/03/07 15:00 ext:exe;ps1;bat。

场景三：高价值资产排查 (安全审计)

一键搜寻敏感凭据：ext:conf;ini;yaml;sk- | id_rsa | *.pfx。

场景四：辅助代码审计 (灰盒搜索)

在大型源码库中秒级定位漏洞 Sink 函数：

• • Java 命控：ext:java content:"Runtime.getRuntime().exec"
• • PHP 命令执行：ext:php content:"eval($_"

ext:txt;ini;yaml;php;jsp;java;xml;sql content:password

b33fd2b8ff559da8e1e780b9cf2de90d_MD5

注意：内容查找比较慢。

7. 内置 ETP 服务器

在局域网内开启 FTP 服务，实现多设备间轻量级的文件流转。工具 – 链接 ETP 服务器。

fba22fdde35b835ff830648d73b56e1a_MD5

8. 最后

Everything 不是一个花哨的软件。它做的事很单一：帮你更准、更快地定位文件。

当你把这种”搜索驱动”的工作流融入日常，你省下的不仅仅是层层点开文件夹的几秒钟，更是你宝贵的专注力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：ListSec 凉城 凉城《你的硬盘里藏着什么：Everything 使用指南》