그들이 찾거나 본 것을 어떻게 알 수 있습니까?
답변
그들이 법 의학적으로 올바른 방법으로했다면, 무엇을 조사할지 결정할 방법이 없습니다. 법의학 기술자가 올바른 방법으로 하드 드라이브를 꺼내서 복제 한 다음 하드 드라이브를 컴퓨터로 반환 한 다음 복제 이미지를 검사하는 것이 올바른 방법입니다. 드라이브가 부팅되지 않았기 때문에 드라이브에 흔적이 없습니다. 복제본 이미지에서 엄격하게 작동하며 하드 드라이브의 모든 항목이 손상된 것으로 간주해야하며 이미지 또는 이미지의 일부를 보유했을 수도 있습니다. 후회할 내용이 없기를 바랍니다.
답변
스크립트를 사용하여 마지막 액세스 시간별로 시스템의 파일을 재귀 적으로 정렬 할 수 있습니다. 그러나 인덱싱과 같은 파일 시스템에서 모든 활동이 지속적으로 진행되면서 그들이 본 내용을 정확하게 결정하는 것은 거의 불가능합니다.
답변
내가 아는 한, 파일에 마지막으로 액세스 한 시간을 보는 가장 빠른 방법 :
-
검색 도구 다운로드 : http://www.voidtools.com/
-
설치하고 프로그램을 실행하고 디스크를 색인화 할 때까지 기다리십시오 (1 분 미만 소요).
-
열 머리글 ( “수정 날짜”라고 표시)을 크게 클릭하고 “최근 액세스”를 활성화합니다.
-
이제 무작위로 무언가를 검색하십시오.
windows -
새 열 헤더 “마지막 액세스”를 클릭하면 검색 결과가 정렬되므로 최신 항목이 맨 위에 표시됩니다.
-
이전 검색을 삭제하고을 검색하십시오
*.*. 특히 처음 사용하는 경우에는 시간이 오래 걸립니다. 최대 10 분이 소요될 수 있습니다. 기간은 모르겠습니다. PC에 따라 다릅니다. 그냥 기다리세요,이 오래된 PC에서 3 분이 걸렸습니다 -
이제 PC에있는 모든 파일의 목록이 날짜 및 시간과 함께 마지막으로 액세스 한 시간별로 나열됩니다.
PC가 외부 출력없이 켜져있을 때 Windows는 일부 파일에 액세스하기 때문에 파일에 액세스 한 사용자가 확실하지 않습니다.