我从电脑中永久删除了一个文件。虽然我在文件的较新版本中保留了数据,但我现在意识到我需要该文件上的时间戳来计算生成数据所花的时间。
Windows 有一个事件日志,我查看过一些,但不太熟悉。它是否记录了文件创建和永久删除时的事件?如果是,我如何找到该信息?
Windows 11
答案1
据我所知,文件删除没有通用事件。事件日志本身就非常混乱,再加上每天创建和删除的数千个文件,情况会变得更糟。
然而:也许可以使用文件恢复软件获取相关信息,如创建日期/时间,甚至恢复文件。当 NTFS 文件被“删除”时,目录发生更改文件系统,磁盘上的空间被标记可用的可供重复使用,但不是立即覆盖。随着磁盘使用量增加,恢复文件的几率会降低,因为这些信息将要最终被另一个文件覆盖。
如果时间戳信息有价值,
- 停止使用包含该数据的驱动器。请勿在该驱动器上安装软件。
- 使用离线工具,例如Macrium Reflect 救援媒体,安装在另一台机器上,以避免覆盖数据。也可以使用 Ubuntu Live USB,使用 dd 命令行工具制作映像。
- 尝试从已安装的磁盘映像中恢复数据。这样就可以使用原始驱动器而不必担心数据会被覆盖。
答案2
虽然这不是我的专业知识,因为这更倾向于取证,但在删除文件之前和之后,我确实从 $MFT 中捕获了一些数据:
也许足以给出一些答案:“我现在意识到我需要该文件上的时间戳来计算生成数据需要多长时间。”
我使用的工具是 DMDE,你只需要免费版本,可以在以下网址获取:https://www.dmde.com。您可以在另一台电脑上下载 DMDE,将其复制/解压缩到 U 盘并从那里运行,而无需安装。
- 在磁盘选择窗口中切换到“逻辑磁盘”
- 按驱动器号选择驱动器
- 在下一个窗口中选择最顶部的条目
- 点击‘打开卷’
- 单击全部找到/虚拟 FS
- 保留选项不变,单击“确定”
- 浏览到包含已删除文件的文件夹
- 选择已删除的文件并右键单击它
- 选择“打开条目(十六进制编辑器)
- 展开所选文件的 $Standard 信息
现在,可能是因为我选择文件以删除它,而不是删除事件本身,导致“访问”日期发生变化。但您可以通过使用虚拟文件进行实验来验证/测试。