我如何知道他们发现或查看了什么?
答案1
如果他们以正确的方式进行取证,那么就无法确定检查的内容。正确的方式应该是让取证技术人员拔出硬盘,克隆它,将硬盘放回机器,然后检查克隆映像。由于硬盘从未启动过,因此驱动器上不会有任何痕迹。他们将严格根据克隆映像进行操作,您应该认为硬盘上的所有内容都已受到损害,并且您还应该意识到他们可能保留了映像或部分映像。希望您没有留下任何会让您后悔的东西。
答案2
您可以使用脚本按上次访问时间对系统上的文件进行递归排序。但是,由于文件系统中不断进行着各种活动(例如索引),因此几乎不可能准确确定他们查看了什么。
答案3
据我所知,查看文件上次访问时间的最快方法是:
下载搜索工具 Everything:http://www.voidtools.com/
安装并运行程序,等待它索引您的磁盘(应该需要不到一分钟)
右键单击列标题(其中显示“修改日期”),然后启用“上次访问”
现在搜索一些随机的东西,比如
windows
点击新的列标题“上次访问”对搜索结果进行排序,以便最新的搜索结果位于顶部
删除旧搜索,然后搜索
*.*
。这将花费很长时间,特别是如果这是你第一次使用 Everything;可能需要长达 10 分钟,我不知道要等多久:这取决于你的 PC;继续等待,我在这台旧 PC 上花了 3 分钟现在,您有了 PC 上所有文件的列表,按上次访问的时间列出,并包含日期和时间。
请注意,当 PC 开启而没有外部输出时,Windows 也会访问某些文件,因此您无法确定是他们访问了文件。