我想知道是否有任何方法可以检查 Windows 7 计算机上哪些文件刻录到了哪张 CD/DVD 上?
换句话说,是否有日志功能可以记录哪些文件被刻录到磁盘?
如果是这种情况,它是否记录了实际刻录的内容,还是仅表明已创建了一个包含文件列表的新“CD 项目”?
其他信息:
- 刻录方法 -> 实时文件系统
- 硬件 -> 外置 DVD-RW 驱动器(抱歉,我知道的都在这里)
- 操作系统 -> Windows 7 (可能是专业版)
- 刻录的用户和查找历史记录的用户都是管理员。
答案1
我不相信 Windows(任何版本)会保存刻录到磁盘的文件的历史记录。我搜索了几分钟,没有找到任何证据证明它确实会保存。我有计算机取证方面的背景,但从未听说过这种技术。它可能记录任何内容的唯一方法是,在将文件刻录到 CD 的过程中,Windows 认为这些文件已被访问,并可能将它们放在最近的项目列表 [C:\Users(用户名)\AppData\Roaming\Microsoft\Windows\Recent Items] 中,和/或文件本身的访问/修改日期是否发生更改。
虽然很可能没有历史记录,但请尝试一下,看看文件是否出现在该目录中或访问日期是否发生变化。
答案2
仅当创建 CD 的应用程序保存自己的日志或将信息写入 Windows 系统日志时才会发生这种情况。Windows 本身不会存储此信息。
答案3
如果您使用的是默认的 Windows DVD/CD 刻录,并且文件系统是 NTFS,是的, 有一种方法。
使用 Windows 默认 DVD/CD 刻录功能时,在 Windows 将文件刻录到光盘之前,Windows 会将文件存储在:\Users<用户>\AppData\Local\Microsoft\Windows\Burn然后在复制完成后将其删除。
因此,您可以使用以下方式找到刻录的文件$MFT和$UsrJrnl文件。我不会详细介绍它的工作原理,因为我需要制作一个教程,但一般来说,你可以去$MFT表来找到路径并获取HEADER_MFTRecordNumber,然后你用这个值来跟踪所有被刻录到DVD / CD中的文件$UsrJrnl文件。
希望这可以帮助。
答案4
简而言之,没有特定的日志记录哪些文件被刻录到磁盘
但是,根据下面提供的资源,可以尝试以下操作:
使用查询(见下文),您可以获得 CD/DVD 刻录服务的启动、运行几分钟和关闭信息。此信息的实用性可以与其他类型的工件(基于时间戳)相关联。通过测试刻录过程并仔细检查主文件表中的工件,使用已找到的标记(与将文件复制或“刻录”到 CD 或 DVD 相关)并将其与从查询中提取的数据进行比较。
查询(摘自资源#1):
为了获得自 2006 年 3 月 1 日开始的两周内所有非重复事件的时间和消息,可以使用以下查询:
LogParser "SELECT DISTINCT TimeGenerated, Message INTO 2006-03-01to03-15.tsv FROM goodlogs/*.evt WHERE TimeGenerated > '2006-03-01 00:00:00’ AND TimeGenerated < ‘2006-03-15 00:00:00’ ORDER BY TimeGenerated"
为了获取此期间显示 CD 刻录服务运行的所有消息,可以使用以下命令:
LogParser ‘‘SELECT DISTINCT TimeGenerated, Message INTO 2006-03-01to03-15.tsv FROM goodlogs/*.evt WHERE TimeGenerated > ‘2006-03-01 00:00:00’ AND TimeGenerated < ‘2006-03-15 00:00:00’ AND Message LIKE ‘%CD-Burning%’ ORDER BY TimeGenerated"
资源: