Кто-то удалил данные из моей системы Windows 7. Я хочу выяснить, кто.
Данные передаются.
Есть ли какие-нибудь журналы, которые могут мне помочь?
Краткий ответ - НЕТ. В Windows 7 нет журналов для доступа к файлам, доступных по умолчанию.
Длинный ответ:
Если пользователи, обращающиеся к файлам, не являются членами группы «Администраторы», вы можете настроить аудит доступа к файлам , чтобы создавать журналы доступа к определенному файлу или каталогу. Вы увидите все соответствующие журналы доступа к файлам в менеджере событий. Конечно, вы не можете сделать это задним числом, вам нужно настроить эту регистрацию заранее.
Пользователи не должны иметь прав администратора. Если у пользователя есть права администратора, он может тривиально обойти эту запись или изменить журналы, чтобы скрыть свои следы.