情况是这样的:我去度假了几个星期,但在我离开之前,我从计算机中取出硬盘并将其藏在不同的位置。星期一回来并将硬盘驱动器放回我的计算机后,我右键单击不同的文件以查看它们的属性。有趣的是,在我离开的那段时间里,有几个文件被访问过!我右键单击了硬盘上不同位置的不同文件,所有这些可疑文件都在特定时间范围内被访问过(星期日,?1 月?09,?2011,大约 ?? 下午 6:52:16 - 7 :16:25 下午)。其中一些是在完全相同的时间访问的——精确到秒。这让我觉得一定有人在我的硬盘上搜索了某些类型的文件,然后将所有这些文件复制到其他媒体上。
当然,我没有右键单击计算机上的每个文件,而是在不同的文件夹中进行了右键单击。例如,我浏览的其中一个文件夹有不同类型的文件:.mp3、,prproj、.3gp、.mpg、.wmv、.xmp、.txt,文件大小从 2 KB 到 29.7 MB(有也是此文件夹中仅包含 .jpg 文件的子文件夹);但是,在此文件夹及其子文件夹中的所有这些不同类型的文件中,所有这些文件都已被访问(包括子文件夹中的 .jpg 文件),除了 .mp3 文件(如果有任何区别,.mp3 文件)在此文件夹中的大小范围从 187 KB 到 4881 KB)。此外,在此期间未访问仅包含 .jpg 文件(确切地说是 48 个 .jpg 文件)的此子文件夹——仅访问其中的 .jpg 文件——(下午 6:57:03 至 6 :57:08 下午)。
我认为这可能是某种显示错误访问日期的 Windows 故障,但后来我查看了所有这些文件的“创建日期”和“修改日期”,以及它们的创建/修改日期和时间是正确的。
我的第一个想法是有人将硬盘放入机箱/烤面包机并查看文件;但后来我意识到这是不可能的,因为有几个文件是在同一时间访问的,精确到秒。所以这让我认为“访问日期”可能改变的唯一其他方式是有人复制文件。
是否有任何机会表明这是某种 Windows 故障或其他问题,或者是否确实有人在访问我的文件(如果有人正在访问我的文件,我对相关文件的复制是否正确? )?可能发生的事情还有其他可能性吗?
我是否需要使用任何类型的取证工具来进一步调查此事(如果需要,使用哪些工具),或者是否有其他方式可以确定我回来前一天的时间范围内发生了什么?或者我在 Windows 7 上看到的是否足够好(即准确和真实)?
首先,它取决于驱动器上的文件系统。它可能是 NTFS(FAT 更糟)。
上次访问 NTFS 卷的时间不是很准确。
这是关于文件时间的 MSDN 页面的摘录:
并非所有文件系统都可以记录创建和上次访问时间,也并非所有文件系统都以相同的方式记录它们。比如FAT上创建时间的分辨率是10毫秒,而写时间的分辨率是2秒,访问时间的分辨率是1天,所以它确实是访问日期。NTFS 文件系统会将文件上次访问时间的更新延迟至上次访问后 1 小时。
这里有更多信息:http : //msdn.microsoft.com/en-us/library/ms724290(v=vs.85).aspx
此外,从这里:http : //msdn.microsoft.com/en-us/library/aa365739(v=vs.85).aspx
ftLastAccessTime 文件时间结构。
对于文件,该结构指定上次读取或写入文件的时间。
对于目录,结构指定目录的创建时间。
对于文件和目录,指定的日期是正确的,但时间总是设置为午夜。如果底层文件系统不支持上次访问时间,则该成员为零。
所有这一切让我认为上次访问时间首先非常不准确,其次向媒体写入该时间的更新可能会延迟长达一个小时,这使得该属性的可信度相当可疑。