现实生活中遇到棘手安全侦破问题.实时分析中...专家请进

Benwolf

一台WIN2000的机器,上面有个极其机密的EXCEL文档,电脑被人靠近,文档被打开,资料被获取,为协作破案,欲确定文档打开时间.大家有办法吗?请专家多多协助.当时电脑处于开机状态.

1984qht

每个文档打开时,那个,开始中,不是有个文档吗:看看那个,,还有就是临时文件夹,,那里只要是你打开没关掉,都有一个以$开头的文件在那里,可看是什么时间,,按时间排一下文档,,别的我还真想不出来

2015

警察都来了吖！@！！！怕怕

LnBSD

dir 有个参数可以显示文件打开时间

C:\Documents and Settings\Administrator>dir/?
显示目录中的文件和子目录列表。

DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N]
  [/O[[:]sortorder]] [/P] [/Q] [/S] [/T[[:]timefield]] [/W] [/X] [/4]

  [drive:][path][filename]
              指定要列出的驱动器、目录和/或文件。

  /A          显示具有指定属性的文件。
  attributes   D  目录                R  只读文件
               H  隐藏文件            A  准备存档的文件
               S  系统文件            -  表示“否”的前缀
  /B          使用空格式(没有标题信息或摘要)。
  /C          在文件大小中显示千位数分隔符。这是默认值。用 /-C 来
              停用分隔符显示。
  /D          跟宽式相同，但文件是按栏分类列出的。
  /L          用小写。
  /N          新的长列表格式，其中文件名在最右边。
  /O          用分类顺序列出文件。
  sortorder    N  按名称(字母顺序)     S  按大小(从小到大)
               E  按扩展名(字母顺序)   D  按日期/时间(从先到后)
               G  组目录优先           -  颠倒顺序的前缀
  /P          在每个信息屏幕后暂停。
  /Q          显示文件所有者。
  /S          显示指定目录和所有子目录中的文件。
  /T          控制显示或用来分类的时间字符域。
  timefield   C  创建时间
              A  上次访问时间
              W  上次写入的时间
  /W          用宽列表格式。
  /X          显示为非 8dot3 文件名产生的短名称。格式是 /N 的格式，
              短名称插在长名称前面。如果没有短名称，在其位置则
              显示空白。
  /4          用四位数字显示年

可以在 DIRCMD 环境变量中预先设定开关。通过添加前缀 - (破折号)
来替代预先设定的开关。例如，/-W。

teczm

原帖由 Benwolf 于 2006-10-23 12:41 发表
一台WIN2000的机器,上面有个极其机密的EXCEL文档,电脑被人靠近,文档被打开,资料被获取,为协作破案,欲确定文档打开时间.大家有办法吗?请专家多多协助.当时电脑处于开机状态.

1.你怎么知道“电脑被人靠近”？ 难不成此机是单机物理隔离的？
2.你怎么断定是资料被获取的方式是“文档被打开”？ 而非其它方式？

Benwolf

没那么简单,大家也不用怀疑电脑是开还是关,情况就是我说的那种.对安全还是比较熟悉的,但是这么看起来简单的事情,找个好办法不是那么容易,呵呵.问了一些搞安全都没解决出.