Answers:
如果他们以法医正确的方式进行操作,那么就无法确定所检查的内容。取证技术的正确方法是拔出硬盘驱动器,对其进行克隆,然后将硬盘驱动器返回计算机,然后检查克隆映像。由于从未引导过驱动器,因此驱动器上没有任何痕迹。它们将严格从克隆映像运行,并且您应将硬盘驱动器上的所有内容都视为已受到破坏,并且还应注意它们可能保留了映像或映像的一部分。希望你那里没有任何东西,你会后悔的。
您可以使用脚本按上次访问时间对系统上的文件进行递归排序。但是,由于所有活动都在文件系统中不断进行,例如建立索引,因此几乎无法确定他们所看的内容。
据我所知,查看文件上次访问时间的最快方法是:
下载搜索工具一切:http : //www.voidtools.com/
安装它并运行该程序,然后等待它为您的磁盘建立索引(应少于一分钟)
Richt单击列标题(显示“日期已修改”),然后启用“上次访问”
现在搜索随机的内容,例如 windows
单击新列标题“最近访问”以对搜索结果进行排序,以便最新显示在顶部
删除旧搜索,然后搜索*.*。这将花费很长时间,尤其是这是您第一次使用Everything时。最多可能需要10分钟,我不知道要多长时间:这取决于您的PC;一直等,这台老式PC花了我3分钟
现在,您有了PC上所有文件的列表,按文件的上次访问时间列出了它们,以及日期和时间。
请注意,当PC开启且没有外部输出时,Windows也会访问某些文件,因此您不能确定是谁访问了文件。