USBドライブのファイルシステム履歴
USBディスクから特定のファイルを削除したのは誰か知りたいのですが。
ディスクはNTFSとしてフォーマットされています。ディスクがWindows7システムに接続されている間に、ファイルが削除されました。しかし、私はUSBディスクを持っていますが、そのシステムにはもうアクセスできません。
削除されたファイルにデータが書き込まれていないことを前提としたフォレンジック手法を使用して、誰がファイルを削除したかを特定することはできますか?ファイルに新しいデータが書き込まれた場合、または犯人が何らかの方法で自分のトラックを隠そうとした場合、これは変更されますか?
いいえ、USBスティックだけを見て誰がファイルを削除したかを知る方法はありません。この動作を隠すためにUSBスティックの内容を変更するのは非常に簡単な方法があったとしても。マシンにアクセスできる場合は、 ファイル削除イベントをログに記録するようにウィンドウを構成する 。ただし、Windowsのログファイルでも変更できます。