NewSites Asked: 2023-05-25 22:22:59 +0800 CST2023-05-25 22:22:59 +0800 CST 2023-05-25 22:22:59 +0800 CST 事件日志是否记录了文件的创建时间和永久删除时间? 772 我从计算机中永久删除了一个文件。虽然我在文件的更高版本中有数据,但我现在意识到我需要该文件的时间戳来计算生成数据所花费的时间。 Windows 有一个事件日志,我看过一些,但不是很熟悉。它会在文件创建和永久删除时记录事件吗?如果是这样,我如何找到该信息? 视窗 11 filesystems 2 个回答 Voted Best Answer DrMoishe Pippik 2023-05-25T22:44:51+08:002023-05-25T22:44:51+08:00 据我所知,文件删除没有通用事件。事件日志按原样非常混乱,添加每天创建和删除的数千个文件会使情况变得更糟。 但是:可以使用文件恢复软件来获取相关信息,例如创建日期/时间,甚至可以恢复文件。当 NTFS 文件被“删除”时,文件系统的目录发生了变化,磁盘上的空间被标记为可重复使用,但不会立即被覆盖。能够恢复文件的几率会随着磁盘的使用而降低,因为该信息最终会被另一个文件覆盖。 如果时间戳信息有价值, 停止使用带有该数据的驱动器。不要在该驱动器上安装软件。 使用离线工具制作磁盘映像,例如安装在另一台机器上的Macrium Reflect 应急媒体,以避免覆盖数据。也可以使用 Ubuntu Live USB,使用 dd 命令行工具制作映像。 尝试从挂载的磁盘映像中恢复数据。这允许使用原始驱动器而不必担心数据会被覆盖。 Joep van Steen 2023-05-26T02:15:23+08:002023-05-26T02:15:23+08:00 虽然这不是我的专长,因为这更倾向于取证,但我确实在删除文件之前和之后从 $MFT 捕获了一些数据: 也许足以给出一些答案:“我现在意识到我需要该文件的时间戳来计算生成数据所花费的时间。” 我正在使用的工具称为 DMDE,您只需要可以在https://www.dmde.com上获取的免费版本。您可以在不同的 PC 上下载 DMDE,将其复制/解压缩到笔式驱动器并从那里运行它而无需安装。 在磁盘选择窗口中切换到“逻辑磁盘” 按驱动器号选择驱动器 在下一个窗口中选择最上面的条目 单击“打开卷” 单击所有找到的/虚拟 FS 保持选项不变,单击“确定” 浏览到包含已删除文件的文件夹 选择已删除的文件并右键单击它 选择“打开条目(十六进制编辑器)” 展开所选文件的 $Standard Information 现在,由于我选择文件以删除它而不是删除事件本身,可能会更改“访问”日期。但这你可以通过试验一个虚拟文件来验证/测试自己。
据我所知,文件删除没有通用事件。事件日志按原样非常混乱,添加每天创建和删除的数千个文件会使情况变得更糟。
但是:可以使用文件恢复软件来获取相关信息,例如创建日期/时间,甚至可以恢复文件。当 NTFS 文件被“删除”时,文件系统的目录发生了变化,磁盘上的空间被标记为可重复使用,但不会立即被覆盖。能够恢复文件的几率会随着磁盘的使用而降低,因为该信息最终会被另一个文件覆盖。
如果时间戳信息有价值,
虽然这不是我的专长,因为这更倾向于取证,但我确实在删除文件之前和之后从 $MFT 捕获了一些数据:
也许足以给出一些答案:“我现在意识到我需要该文件的时间戳来计算生成数据所花费的时间。”
我正在使用的工具称为 DMDE,您只需要可以在https://www.dmde.com上获取的免费版本。您可以在不同的 PC 上下载 DMDE,将其复制/解压缩到笔式驱动器并从那里运行它而无需安装。
现在,由于我选择文件以删除它而不是删除事件本身,可能会更改“访问”日期。但这你可以通过试验一个虚拟文件来验证/测试自己。