我想知道图像文件何时被用户或 Windows 会话修改以及用户/会话的名称。
怎么做?
答案1
您可以使用文件系统审计功能来记录对特定文件或目录的所有访问。只需按照这个简短的指南启用对相关文件的审计并评估安全日志。
如果您尚未激活日志记录但需要过去更改的信息,那么您可能会很幸运地在 NTFS 日志中找到它。日志会不时轮换(取决于磁盘上的更改操作量和配置的日志大小),如果更改已被覆盖,则无法再获取它。
有一个期刊阅读应用程序示例使用 Microsoft 分发的源代码 - 一些小的更改应该能够产生变化的用户 SID。可能有免费的实用程序可以读取日志,并为您提供 SID 或用户名。