Belirli bir tarihte değiştirilen dosyalar için tüm sabit disk nasıl aranır? [çiftleme]


9

Birkaç saat önce bir virüs aldım ve dosyalarından birini belirledim. Virüsün kurulduğu dakikayı biliyorum ve tüm sabit diskimi o dakika içinde değiştirilmiş dosyaları aramak istiyorum . Bunu yapabilen bir yardımcı program var mı? Windows araması yalnızca belgeleri arar.

Windows 8 kullanıyorum.


2
Bir virüsten koruma ...
BenjiWiebe

Windows Defender (Windows 8'de Security Essentials) + Malwarebytes kullanıyorum. MalwareBytes yalnızca bir dosya belirledi ve ikisinin de arama seçeneği yok.
msbg

Belki de enfekte olan her şey budur. İse virüs henüz hiç bir şey yapmamıştı bir dosya olması mümkün. Belki bir hackerdan komutlar bekliyordu. ;)
BenjiWiebe

1
Doğru, ama emin olmayı tercih ederim. Birkaç hafta içinde virüsü yeniden yüklemeye hazır başka bir dosya olabilir.
msbg

Yanıtlar:


9

Masaüstünden Dosya Gezgini'ni açın. Sabit sürücünüzün kök dizinine gidin (muhtemelen C: \). Arama alanına dokunun / tıklayın ve aşağıdaki gibi yazın: System.DateModified:YYYY-MM-DDThh:mm:ssburada tarih ve saat, virüsün göründüğünü bildiğiniz ve burada gösterilen ISO-8601'de açıklanmıştır: http://www.w3.org/TR/NOTE- datetime .

Windows arama terimleri "Gelişmiş Sorgu Sözdizimi" olarak adlandırılır ve çoğu Windows arama kullanıcı arabirimi aracılığıyla son kullanıcılara maruz kalmayan bir dizi yararlı terim içerir. Bu, MSDN belgesinde açıklanan bir örnektir: http://msdn.microsoft.com/en-us/library/bb266512%28VS.85%29.aspx "Windows 8'deki DateTime özellikleri" bölümü altında.

Tüm sürücüyü aramak için dizini genişletmeniz gerekebileceğini ve dizinin belirli yerleri aramayacağını unutmayın ( C:\Windows\CSC\bir örnek için).


Güzel, ama dakika / saate göre arama seçeneği görmüyorum.
msbg

Bu seviyeye nasıl arama yapılacağı açıklandı.
KAMonica

Mükemmel cevap. (PowerShell'i önerecektim, ama bu daha kolay).
Adam Thomas

@KA neden bu çalışmaların hiçbirinin işe yaramadığını söyleyebilir misiniz? System.DateModified:>2016-01-04T05:00ve System.DateModified:<2016-01-04T05:00. Olması gerekiyordu January 4, 2016 at 5 AM. Bir ilave >tarih ve saat listelenen sonra nasıl çünkü düşünceler.
cokedude

2

Bunu yapmanın bir çok yolu var. Gibi bir programı deneyebilirsiniz

http://www.mythicsoft.com/page.aspx?type=filelocatorlite&page=home

8 hatta 7 bile kullanmıyorum. Ama CMD kullanırdım. Bunu yapmanın birkaç yolu var, ancak en basit yol, oluşturulmuş zaman için filtrelenmiş alt klasörler ile tüm sürücüyü DIR yapmak ve daha sonra tarih ve saat formatıyla eşleşen bir dize aramak olacaktır. Bir CMD penceresine yapıştırmak için sağ tıklayın ve yapıştır'ı seçin. (bir daha asla win8 kullanmadım)

Bu, aşağıdaki kod karmaşık değil C: sürücü "01/19/2013 06:38 PM" oluşturulan bir dosya için arama çıktı çıktı C: \ FoundFiles.TXT olacaktır.

@dir c:\*.* /s /t:c | findstr "01/19/2013  06:38 PM">c:\FoundFiles.TXT 

Aşağıdaki kod gizli dosyaları arayacak ve c: \ FoundHiddenFiles.TXT dosyasına gönderecektir.

@dir c:\*.* /s /a:h /t:c | findstr "01/19/2013  06:38 PM">c:\FoundHiddenFiles.TXT

"son erişilen" dosyalar için / t: a ve son yazılan dosyalar için / t: w kullanın

Windows 8'de CMD'yi açmak için sadece CMD için uygulama arayın. Dizeyi pencereye 8 yerleştirdiğiniz DIR çıkışına uyacak şekilde ayarlamanız gerekebilir. Windows 8'in C: 'ye erişmenizi sağladığını da bilmiyorum. Her arama yalnızca bir dakika sürecektir, size dosya adlarını yalnızca konum değil, verir ve her çalıştırdığınızda eski arama sonucunu siler. " . " isteğe bağlı olmalıdır sadece her durumda onları koymak.

umarım birine yardım eder.

Son bir şey. Sadece tüm lanet sürücü bir Metin dosyasına çıktısını yönlendirebilir, daha sonra kelime veya not defteri veya Windows 8 ile ne verdiklerini arayabilirsin. Aşağıdaki kodlar, dosyalar oluşturulduğunda sıralanan sabit disklerinizin tüm içeriğini çıkarır.

dir c:\*.* /s /o:d /t:c >C:\AllFiles.TXT

Ve tüm Gizli dosyaları aramak istiyorsanız

dir c:\*.* /s /o:d /t:c /a:h >C:\AllHiddenFiles.TXT

1

Buraya aynı problemle aramaya geldim.

Windows 8.1'de, tarihe Thh: mm: ss eklediğimde ISO 8601 biçimindeki tarih (YYYY-AA-GGTss: dd: ss) benim için çalışmadı. Zaman olmadan tarih ok. '2014- 1- 15'

Ancak bu zamanla işe yaradı: 15- Ocak- 14 16:24 Bölgesel biçiminizi kullanmanız gerekebilir, örneğin 01/15/14 16:24 veya evrensel: 2014- 1- 15 16:24

Değişiklik zamanını aramak yerine, o tarih ve saatte OLUŞTURULAN dosyaları aramanızı öneririm. Dosyalar tarih oluşturduğundan / değiştirdiğinden / eriştiğinden: System.DateCreated:15-‎Jan-‎14 16:24

Ayrıca "Sistem" olmadan da çalışır. benim için:DateCreated:‎15-‎Jan-‎14 16:24

Ayrıca, bizim durumumuzda, aramanızı 10 dakika gibi daha geniş yapmak iyi bir fikirdir:

DateCreated:‎15-‎Jan-‎14 16:24..15-Jan-14 16:34

veya dilden bağımsız biçimde tarihle:

DateCreated:‎2014-‎1-‎15 16:24..2014-‎1-‎15 16:34

bu dizeyi, ana metin sürücünüzün (c :) kök dizinindeki Dosya Gezgini penceresine adres metin kutusunun sağındaki Bu PC'de Ara birleşik giriş kutusuna girersiniz.

Ayrıca AppData klasörü dizinli alanın dışında olduğunu ve başka türlü aranmayacağını düşünüyorum çünkü Sistem Dosyaları arama dahil etmek gerekir. Ve virüsler burada yaşamayı seviyor. Bunu yapmak için Menüde Ara'ya, ardından Gelişmiş Seçenekler ve Sistem Dosyaları AÇIK'a tıklayın.

Sonuç bölmesinde, bazıları belirttiğiniz aralık dışında olan DEĞİŞTİRME tarihleri ​​göreceksiniz. Her bir dosyanın özelliğine bakarsanız, oluşturma tarihinin belirtilen aralıkta olduğunu görürsünüz. Oluşturulduktan sonra değiştirildiler

(Bir resim yaptım ama gönderemiyorum)


1

Kullanabileceğiniz forfiles adında bir DOS komutu var

forfiles /P C:\ /S /D -1 /M *.*

bir programı çağırmak (veya cmd / c ile bir DOS komutu çağırmak gibi) gibi daha gelişmiş sözdizimini de kullanabilirsiniz.

forfiles /P C:\ /S /D -1 /M *.* /C "cmd /c echo @fname @fdate"

dosyalara bakınız /? sözdizimi ve @fname, @fdate vb. gibi parametreler için

komut istemini açmak için Başlat menüsüne / Ara ... seçeneğine gidin ve CMD yazın ve ENTER tuşuna basarak DOS penceresini açın

(PS Sistemim üzerinde çalışmasını sağlayamıyorum - / D -1 ile belirttiğim gibi, sadece bir gün önce değiştirilen dosyaları değil, tüm dosyaları döndürüyor gibi görünüyor - muhtemelen Yunan tarihlerinin DD / MM / YYYY ve AA / GG / YYYY değil)

DÜZELTME: / D -dd'nin ne yaptığına dair bir yanlış anlama var (ben ve diğerleri de internetteki bir aramayı değerlendiriyorlar), dd günlük dosyaları değil, dd günden eski dosyaları arıyor gibi görünüyor

bu nedenle FORFILES öğesinin / D + gg / AA / yyyy sözdizimini kullanmanız ve dünden daha büyük tarihli tüm dosyaları bulmak için dünün tarihini iletmeniz gerekir. Bunu otomatikleştirmek için% date% öğesini kullanabilir ve% date ile ayrıştırabilirsiniz: ~ 7,2% /% tarih: ~ 4,2% /% tarih: ~ -4% veya bunun gibi bir şey (tarih bölümlerini yeniden sıralamanız gerekebilir) bulunduğunuz yere bağlı olarak)


Toplu iş dosyalarında% değil,%% kullanmanız gerektiğini unutmayın
George Birbilis

btw, bugün değiştirilen dosyaları bulmak için / D +
0'ı
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.