Есть ли способ проверить "историю" записанных компакт-дисков на Win 7?

Мне было интересно, если есть какой-либо способ проверить, какие файлы, где сожгли на какой CD/DVD с компьютера Windows 7?

другими словами, есть ли функция журнала, которая записывает, какие файлы записываются на диск?

Если это так, записывает ли он то, что на самом деле было записано, или только указывает, что был создан новый "CD-проект" со списком файлов?

прочая информация:

  • метод записи - > живой файл System
  • оборудование - > внешний DVD-RW привод (извините, все, что я знаю)
  • OS - > Windows 7 (возможно профессиональная)
  • и запись пользователя, и пользователь, ищущий историю
    администраторы.
30
задан kinokijuf
11.12.2022 13:59 Количество просмотров материала 3016
Распечатать страницу

5 ответов

Я не верю, что Windows (любая версия) сохраняет историю файлов, записанных на диск. Я огляделся на несколько минут и не нашел никаких доказательств, что это так. У меня есть опыт в компьютерной криминалистике, и я никогда не слышал, чтобы это упоминалось как техника. Единственный способ, которым он может записывать что-либо, если в процессе записи файлов на компакт-диск windows, считается, что эти файлы доступны и, возможно, поместить их в список последних элементов [C:\Users (пользователь Name)\AppData\Roaming\Microsoft\Windows\недавние элементы], и/или если Дата доступа/изменения изменяется в самом файле.

скорее всего, хотя нет никакой истории, но попробуйте посмотреть, появятся ли файлы в этом каталоге или изменится дата доступа.

3
отвечен Daisetsu 2022-12-12 21:47

только если приложение, создавшее компакт-диск, сохраняет собственный журнал или записывает информацию в системные журналы Windows. Сама Windows изначально не хранит эту информацию, нет.

2
отвечен BBlake 2022-12-13 00:04

Lumension или подобный продукт могут внести что было скопировано к USB, внешним жестким дискам, компактным дискам и DVDs в журнал. Но это было бы скорее корпоративное решение.

0
отвечен Lumension 2022-12-13 02:21

короче говоря, нет конкретного журнала, который записывает, какие файлы записываются на диск

однако на основе ресурсов, представленных ниже, можно попробовать следующее:

С помощью запроса (см. ниже) можно получить службу записи CD/DVD, которая запускается, работает в течение нескольких минут и завершает работу. Полезность этой информации можно соотнести с другими видами артефактов на основе временных меток. Через испытание процесса горения и близкого рассмотрения артефакты из таблицы master file используйте те маркеры, которые были найдены (связанные с копированием или" прожигом " файлов на CD или DVD) и сравните их с данными, извлеченными из запроса.

запрос (выдержка из ресурса #1):

получить только время и сообщение для всех не дублировать события в течение двух недель, начиная 3/1/2006, Волп- lowing запрос может быть использован:

LogParser "SELECT DISTINCT TimeGenerated, Message INTO 2006-03-01to03-15.tsv FROM goodlogs/*.evt WHERE TimeGenerated > '2006-03-01 00:00:00’ AND TimeGenerated < ‘2006-03-15 00:00:00’ ORDER BY TimeGenerated"

получить все сообщения за этот период, показывающие работу компакт служба записи, можно использовать следующее:

LogParser ‘‘SELECT DISTINCT TimeGenerated, Message INTO 2006-03-01to03-15.tsv FROM goodlogs/*.evt WHERE TimeGenerated > ‘2006-03-01 00:00:00’ AND TimeGenerated < ‘2006-03-15 00:00:00’ AND Message LIKE ‘%CD-Burning%’ ORDER BY TimeGenerated"

ресурсы:

0
отвечен Tek'eek 2022-12-13 04:38

Если вы используете Windows DVD/CD по умолчанию и ваша файловая система NTFS,да, есть способ.

при использовании функции записи DVD/CD Windows по умолчанию, прежде чем Windows записывает файлы на диск, windows будет хранить файлы на :\Пользователи\\AppData\Local\Microsoft\Windows\Burn а потом стереть их по окончании копирования.

из-за этого вы можете найти записанные файлы, используя $MFT и $UsrJrnl файлы. Я не буду вдаваться в подробности, как это работает, потому что мне нужно будет сделать учебник, но в целом вы идете в таблицу $MFT, чтобы найти путь и получить "HEADER_MFTRecordNumber", затем вы используете это значение для отслеживания всех файлов, которые были записаны на DVD/CD в файле $UsrJrnl.

надеюсь, что это помогает.

0
отвечен f4d0 2022-12-13 06:55

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх