这是一个创建于 64 天前的主题,其中的信息可能已经有所发展或是发生改变。
扫描后可以比较快的查到我用某某软件,访问了某某文件。 比如 explorer.exe 打开了 a 文件夹,wps.exe 打开了 xxx.doc 文件。
进程有.exe 可执行文件和程序名两种显示类型,文件能获取到具体的路径和文件名。
windows 有哪里能获取到这些信息?
1 |
2
mosakashaka OP @ho121 我的说明不准确,是历史的操作记录,相当于扫描我干过了哪些事情。。
|
 |
3
ltyj2003 64 天前 via Android
Recent file 文件夹里有一部分,删了就没了。
更详细的必须配合审计监控软件,系统本身没有记录。 |
|
4
mosakashaka OP @ltyj2003 谢谢,那奇怪了,不知道我用的软件怎么扫出来的。
|
 |
5
sabermiao 64 天前
MFT 文件,$MFT 提供系统上文件和目录活动的详细记录,包括文件创建、修改、删除和访问等操作。
|
|
6
sabermiao 64 天前
Master File Table (Local File Systems) - Win32 apps | Microsoft Learn
https://learn.microsoft.com/en-us/windows/win32/fileio/master-file-table |
|
7
sabermiao 64 天前
另外还有 USN ,`USN` 或 `Update Sequence Number` 是 Windows 中 NTFS 文件系统的重要组成部分。USN 日志本质上是一种更改日志功能,它会仔细记录对 NTFS 卷上的文件和目录的更改。
|
|
8
mosakashaka OP @sabermiao 感谢,我研究一下
|
Select Language