5

Мне было интересно, есть ли способ проверить, какие файлы были записаны на каком CD/DVD с компьютера с Windows 7?

Другими словами, есть ли функция журнала, которая записывает, какие файлы были записаны на диск?

Если это так, записывает ли он то, что на самом деле было записано, или он только заявляет, что был создан новый "проект CD" со списком файлов?

Другая информация:

  • Метод записи -> Живая файловая система
  • Оборудование -> Внешний привод DVD-RW (извините, все, что я знаю)
  • ОС -> Windows 7 (вероятно, Professional)
  • И пользователь, и пользователь, ищущий историю, являются администраторами.
|источник

5 ответов5

3

Я не верю, что Windows (любая версия) сохраняет историю файлов, записанных на диск. Я смотрел вокруг в течение нескольких минут и не нашел никаких доказательств того, что это так. У меня есть опыт работы в компьютерной криминалистике, и я никогда не слышал, чтобы это упоминалось как техника. Единственный способ записать что-либо - это если в процессе записи файлов на окна компакт-дисков эти файлы считаются доступными и, возможно, помещать их в список последних элементов [C:\Users (имя пользователя)\AppData\Roaming\Microsoft\Windows\Recent Items] и / или если дата доступа / изменения была изменена в самом файле.

Скорее всего, хотя истории нет, но попробуйте и посмотрите, появляются ли файлы в этом каталоге или изменяется дата доступа.

|источник
2

Только если приложение, создавшее компакт-диск, сохраняет собственный журнал или записывает информацию в системные журналы Windows. Сама Windows изначально не хранит эту информацию, нет.

|источник
0

Короче говоря, нет конкретного журнала, который записывает, какие файлы были записаны на диск

Однако на основе ресурсов, представленных ниже, можно попробовать следующее:

Используя запрос (см. Ниже), вы можете запустить сервис записи CD/DVD, запустить его в течение нескольких минут и завершить работу. Полезность этой информации может быть соотнесена с другими видами артефактов, основанными на отметках времени. Посредством тестирования процесса записи и тщательного изучения артефактов из таблицы основных файлов используйте те маркеры, которые были найдены (связанные с копированием или «записанием» файлов на CD или DVD), и сравните их с данными, извлеченными из запроса.

Запрос (выдержка из ресурса # 1):

Чтобы получить только время и сообщение для всех неповторяющихся событий в течение двухнедельного периода, начинающегося 01.03.2006, можно использовать следующий запрос:

LogParser "SELECT DISTINCT TimeGenerated, Message INTO 2006-03-01to03-15.tsv FROM goodlogs/*.evt WHERE TimeGenerated > '2006-03-01 00:00:00’ AND TimeGenerated < ‘2006-03-15 00:00:00’ ORDER BY TimeGenerated"

Чтобы получить все сообщения за этот период, показывающие работу службы записи компакт-дисков, можно использовать следующее:

LogParser ‘‘SELECT DISTINCT TimeGenerated, Message INTO 2006-03-01to03-15.tsv FROM goodlogs/*.evt WHERE TimeGenerated > ‘2006-03-01 00:00:00’ AND TimeGenerated < ‘2006-03-15 00:00:00’ AND Message LIKE ‘%CD-Burning%’ ORDER BY TimeGenerated"

Ресурсы:

|источник
0

Lumension или аналогичный продукт может регистрировать то, что было скопировано на USB, внешние жесткие диски, CD и DVD. Но это было бы скорее решением для предприятия.

|источник
0

Если вы используете Windows DVD/CD Burn по умолчанию и ваша файловая система NTFS, ДА, есть способ.

При использовании функции записи DVD/CD по умолчанию в Windows, перед тем как Windows запишет файлы на диск, Windows сохранит файлы в папке :\Users\\AppData\Local\Microsoft\Windows\Burn и затем удалит их после завершения копирования.

Из-за этого вы можете найти записанные файлы, используя файлы $ MFT и $ UsrJrnl . Я не буду вдаваться в подробности, как это работает, потому что мне нужно будет создать учебник, но в целом вы идете в таблицу $ MFT, чтобы найти путь и получите "HEADER_MFTRecordNumber", затем вы используете это значение для отслеживания всех файлов. которые были записаны на DVD/CD в файле $ UsrJrnl.

Надеюсь это поможет.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .