Кто-то имел доступ к моей машине, пока меня не было в отпуске, и я хотел бы знать, что было установлено или скопировано на мой жесткий диск в течение ограниченного 3-дневного периода. Доступна ли эта системная информация? Я не знал, предоставит ли машина времени какую-либо информацию.
4 ответа
1
Вы также можете использовать Spotlight:
mdfind 'kMDItemLastUsedDate>=$time.iso(2013-04-29T00:00Z)'
kMDItemFSContentChangeDate и kMDItemFSCreationDate будут обычными временами изменения и создания.
InstallHistory.plist - это журнал установленных пакетов:
cat /Library/Receipts/InstallHistory.plist
Это показывает файлы, добавленные во втором снимке:
tmutil compare 2013-02-24-105019 2013-02-26-184354 | grep ^+
0
Конечно, вы можете использовать поиск в центре поиска вашего жесткого диска и просматривать файлы, дважды нажав «дата изменения». Это будет дата, измененная после, и дата, измененная ранее. Затем вы можете сохранить результаты поиска, чтобы настроить и другие параметры, например, проверяя только приложения, папки и что у вас есть. Это, конечно, менее сложно, чем использование Терминала, но использование графического интерфейса может дать вам быструю идею.
0
Вы можете 'сделать' рекурсивную ls -a и grep все с измененными датами за 3 дня и соответствовать регулярному выражению ".app" для поиска приложений
0
У вас есть пара опций, каждая из которых включает терминал (Applications-> Utilities-> Terminal).
Опция 1
В окне терминала создайте два файла с помощью сенсорной команды с диапазоном дат, который вы хотите найти. Команда touch с параметром -t позволяет нам создать файл с произвольной отметкой времени создания (ггггммддчмм):
touch -t 201201010000 /tmp/start
touch -t 201201040000 /tmp/end
Теперь вы используете эти файлы для запуска команды поиска для проверки файлов в вашей системе, которые были изменены в желаемом диапазоне дат:
find / -newer /tmp/start -a ! -newer /tmp/end -print0 | xargs -0 ls -ld
Это займет немного времени, поэтому вы можете просто оставить все как есть и заняться своими делами, если ваш диапазон дат не включает сегодня.
Вариант 2
Запустите команду поиска, которая ищет только те файлы, к которым обращались или изменяли их в течение определенного количества дней.
find / -atime -30 -type -f # is a file and was accessed within the last 30 days
find / -mtime -30 -type -f # is a file and was modified within the last 30 days
Вы можете проверить каталоги отдельно, изменив -type -f на -type -d