视窗事件日志 已删除的文件信息
本文关键字:文件 信息 删除 事件 日志 | 更新日期: 2023-09-27 18:32:39
如何在Windows中获取已删除文件的信息,用户通过共享网络删除了文件/文件夹?
有没有一个地方窗口记录所有此类信息。如果是,那么在哪里?
我们可以使用 c# 以编程方式跟踪这些细节吗?
不,在文件删除活动之后通常没有证据。 除非您有一个执行日志记录的应用程序,否则不会创建任何日志。
如果需要跟踪文件删除,可以使用 FileSystemWatcher 类执行此操作。 它只会告诉您更改了什么,而不是谁进行了更改,并且只会跟踪本地文件系统上的更改。 对于网络共享,这意味着您必须在承载共享的服务器上运行。
为了跟踪谁在网络共享上进行了删除,我能想到的唯一选择是使用网络数据包检查。 这非常耗费资源且涉及,因为它需要您手动重组和解释 SMB 消息。 不简单。 如果您真的想尝试此操作,那么WinPcap(通过 SharpPcap 或 PcapDotNet 之类的东西(将允许您访问数据包,并在 SMB 协议上进行大量读取。
请注意,这些是一些非常深的水域。