web-dev-qa-db-ja.com

Win 7で書き込まれたCDの「履歴」を確認する方法はありますか?

Windows7コンピューターからどのファイルがどのCD/DVDに書き込まれたかを確認する方法があるかどうか疑問に思いましたか?

言い換えれば、ディスクに書き込まれたファイルを記録するログ関数はありますか?

この場合、実際に書き込まれたものを記録しますか、それともファイルのリストを使用して新しい「CDプロジェクト」が作成されたことのみを示しますか?

他の情報:

  • 書き込み方法->ライブファイルシステム
  • ハードウェア->外付けDVD-RWドライブ(私が知っていることはすべて申し訳ありません)
  • OS-> Windows 7(おそらくプロフェッショナル)
  • 書き込み中のユーザーと履歴を探しているユーザーの両方が管理者です。
windows-7logginghistorycompact-discdvd-burning
5
ABeanSits

Windows(どのバージョンでも)がディスクに書き込まれたファイルの履歴を保存するとは思わない。私は数分間ぐるぐる回って、それがするという証拠を思いつきませんでした。私はコンピュータフォレンジックのバックグラウンドを持っており、これがテクニックとして言及されているのを聞いたことがありません。何かを記録する唯一の方法は、ファイルをCDウィンドウに書き込む過程で、それらのファイルがアクセスされていると見なし、最近のアイテムリスト[C:\ Users(User Name)\ AppData\Roaming\Microsoft\Windows \最近のアイテム]、および/またはアクセス/変更された日付がファイル自体で変更された場合。

ほとんどの場合、履歴はありませんが、試してみて、ファイルがそのディレクトリに表示されるかどうか、またはアクセス日が変更されるかどうかを確認してください。

3
Daisetsu

CDを作成したアプリケーションが独自のログを保存するか、Windowsシステムログに情報を書き込む場合のみ。 Windows自体は、この情報をネイティブに保存しません。

2
BBlake

つまり、ディスクに書き込まれたファイルを記録する特定のログはありません。

ただし、以下に提供されているリソースに基づいて、次のことを試すことができます。

クエリ(以下を参照)を使用すると、CD/DVD書き込みサービスを開始、数分間実行、およびシャットダウンすることができます。この情報の有用性は、タイムスタンプに基づいて、他の種類のアーティファクトと関連付けることができます。書き込みプロセスのテストとマスターファイルテーブルからのアーティファクトの綿密な調査を通じて、見つかったマーカー(CDまたはDVDへのファイルのコピーまたは「書き込み」に関連付けられている)を使用して、クエリから取得したデータと比較します。

クエリ(リソース#1からの抜粋):

2006年3月1日から始まる2週間の間に、重複しないすべてのイベントの時間とメッセージのみを取得するには、次のクエリを使用できます。

LogParser "SELECT DISTINCT TimeGenerated, Message INTO 2006-03-01to03-15.tsv FROM goodlogs/*.evt WHERE TimeGenerated > '2006-03-01 00:00:00’ AND TimeGenerated < ‘2006-03-15 00:00:00’ ORDER BY TimeGenerated"

この期間中にCD書き込みサービスの動作を示すすべてのメッセージを取得するには、以下を使用できます。

LogParser ‘‘SELECT DISTINCT TimeGenerated, Message INTO 2006-03-01to03-15.tsv FROM goodlogs/*.evt WHERE TimeGenerated > ‘2006-03-01 00:00:00’ AND TimeGenerated < ‘2006-03-15 00:00:00’ AND Message LIKE ‘%CD-Burning%’ ORDER BY TimeGenerated"

リソース:

0
Tek'eek

Lumensionまたは同様の製品は、USB、外付けハードドライブ、CD、およびDVDにコピーされたものをログに記録できます。しかし、それはもっとエンタープライズソリューションになるでしょう。

0
Lumension

デフォルトのWindowsDVD/CD書き込みを使用していて、ファイルシステムがNTFSの場合、[〜#〜] yes [〜#〜]、方法があります。

WindowsのデフォルトのDVD/CD書き込み機能を使用する場合、Windowsがファイルをディスクに書き込む前に、Windowsはファイルを:\ Users \\ AppData\Local\Microsoft\Windows\Burnに保存してから消去しますコピーが完了したときにそれら。

このため、$ MFTおよび$ UsrJrnlファイルを使用して書き込み済みファイルを見つけることができます。チュートリアルを作成する必要があるため、これがどのように機能するかについては詳しく説明しませんが、通常は、$ MFTテーブルに移動してパスを見つけ、「HEADER_MFTRecordNumber」を取得してから、この値を使用してすべてのファイルを追跡します$ UsrJrnlファイルでDVD/CDに書き込まれました。

お役に立てれば。

0
f4d0