Windows 7, dosya özellikleri - "tarihe erişildi" HER ZAMAN% 100 doğru mu?

İşte durum: Birkaç hafta tatile çıktım, ama ayrılmadan önce sabit diskimi bilgisayarımdan çıkardım ve farklı bir yere sakladım. Pazartesi günü tekrar gelip harddrive'ı bilgisayarıma geri yerleştirdikten sonra, özelliklerini görmek için farklı dosyaları sağ tıkladım. İlginçtir ki, gittiğim süre boyunca birkaç dosyaya erişilmişti! Sabit sürücüdeki çeşitli konumlardaki farklı dosyaları sağ tıklattım ve bu şüpheli dosyaların tümüne belirli bir zaman aralığında erişildi (09 Ocak 2011 Pazar, yaklaşık 18:52:16 PM - 7 : 16: 25 PM). Bazılarına aynı anda erişildi - ikinciye kadar. Bu, birinin sabit diskimde belirli dosya türleri için bir arama yapmış ve ardından tüm bu dosyaları başka bir ortama kopyaladığını düşündürüyor. Bu sabit sürücüdeki Windows 7 yüklemesi parola korumalıdır, ancak şifreli DEĞİLDİR, böylece sabit sürücüyü farklı bir bilgisayardan erişmek için kolayca bir muhafaza / tost makinesine koyabilirlerdi.

Tabii bilgisayarımdaki her bir dosyayı sağ tıklamamıştım, fakat farklı klasörlerde yaptım. Örneğin, içinde bulunduğum klasörlerden birinin farklı dosya türleri var: .mp3, prproj, .3gp, .mpg, .wmv, .xmp, .txt, 2 KB ile 29,7 MB arasında değişen dosya boyutları ( ayrıca bu klasörde sadece .jpg dosyalarını içeren bir alt klasör); bununla birlikte, bu klasördeki ve alt klasöründeki tüm bu farklı dosya türlerinden hepsine erişilmiş (alt klasördeki .jpg dosyaları dahil) .mp3 dosyalarını hariç tut (eğer herhangi bir fark yaratırsa, .mp3 dosyaları) Bu klasörün boyutu 187 KB ile 4881 KB arasında değişmektedir. Ayrıca, yalnızca .jpg dosyalarını içeren bu alt klasöre (tam olarak 48 .jpg dosyası) bu süre içinde erişilemedi - yalnızca içindeki .jpg dosyalarına erişildi-- (6:57:03 PM - 6 arasında : 57: 08:00).

Belki de bunun yanlış erişim tarihini gösteren bir çeşit Windows aksaklığı olduğunu düşündüm, ama sonra söz konusu tüm dosyalar için "oluşturulan tarih" ve "tarih değiştirildi" ve bunların oluşturulan / değiştirilen tarih ve saatlerine baktım. doğru nokta vardı.

İlk düşüncem, birisinin sabit sürücüyü bir kasaya / tost makinesine koyup dosyaları görüntülemesiydi; ancak daha sonra bunun imkansız olduğunu anladım çünkü dosyalara birkaç saniye aynı anda erişildi. Bu da bana, “erişilen tarihin” değişebileceğinin diğer yolunun birinin dosyaları kopyalaması halinde olabileceğini düşündürdü.

Bu, bir çeşit Windows aksaklığı veya başka bir şey olma ihtimalinin var mı, yoksa birinin gerçekten dosyalarıma erişebildiği bir gerçek mi (ve biri dosyama erişiyorsa, söz konusu dosyalar hakkında kopyalanmış mıyım?) )? Olanlar için başka bir olasılık var mı?

Bu konuyu daha fazla araştırmak için herhangi bir türden adli alet kullanmam gerekiyor mu (ve eğer öyleyse, hangi araçlar) veya geri dönmeden önceki gün içerisinde bu zamanda ne olduğundan emin olabileceğim başka bir yol var mı? Yoksa Windows 7 ile gördüğüm kadarıyla yeterince iyi (doğru, doğru ve doğru mu)?

İlk olarak, sürücüdeki dosya sistemine bağlıdır. Muhtemelen NTFS'dir (FAT daha kötüdür).

Bir NTFS birimindeki son erişim zamanı çok doğru değil.

Bu, MSDN sayfalarının dosya zamanları hakkında bir özetidir:

Tüm dosya sistemleri kayıt yapamaz   oluşturma ve son erişim zamanları ve   tüm dosya sistemleri onları kaydetmez   aynı şekilde. Örneğin,   FAT üzerinde zaman yaratma çözünürlüğü 10   milisaniye, yazma süresi   2 saniyelik çözünürlük ve erişim   zaman 1 gün çözünürlüğe sahip   Gerçekten erişim tarihi. NTFS   dosya sistemi son güncellemeleri geciktirir   Bir dosyanın erişim süresi 1 saate kadar   Son erişimden sonra.

Burada daha fazla bilgi var: http://msdn.microsoft.com/en-us/library/ms724290(v=vs.85).aspx

Ayrıca buradan: http://msdn.microsoft.com/en-us/library/aa365739(v=vs.85).aspx

ftLastAccessTime Bir FILETIME yapısı.

Bir dosya için yapı belirtir   dosya en son okunduğunda veya   için yazılmış.

Bir dizin için yapı   dizinin ne zaman olacağını belirtir   yarattı.

Hem dosya hem de dizin için   belirtilen tarih doğru, ancak   günün saati her zaman gece yarısına ayarlanır.   Temel dosya sistemi yoksa   bu üyeye son erişim zamanı desteği   sıfır.

Tüm bunlar, son erişim zamanının öncelikle oldukça yanlış olduğunu düşünmeme neden oluyor ve ikinci olarak, bu zamana yapılan güncellemenin medyaya yazılması, bir saat kadar ertelenebilir, bu özelliğin güvenilirliğini oldukça şüpheli kılıyor.

Sorun giderme-araştırma yazılımı yüklendiğinde her zaman erişilen son oluşturulan tarih zaman damgalarını kullanıyorum. Benim kullanımlarında çok doğru oldu NTFS dosya sistemleri

Siz yokken bazı tarihler değiştiğinden, bir haftadan birkaç gün geçtiğini kabul ediyorum.

Bu zaman damgaları diğer verilerle birlikte bir kullanıcının bilgisayarda yaptığı şeyi yeniden yapılandırmak için bilgisayar adli ekipleri tarafından da kullanılır.

Deneyimli bilgisayar korsanları bu zaman damgalarını değiştirmek için bilgisayar sistemlerine girerken izlerini kapatacak yazılım kullanıyor.

Son erişilen Windows 7'de varsayılan olarak devre dışı .