Как узнать с какого компьютера записан диск

Обновлено: 03.07.2024

Мне было интересно, если есть какой-либо способ проверить, какие файлы, где сожгли на какой CD/DVD с компьютера Windows 7?

другими словами, есть ли функция журнала, которая записывает, какие файлы записываются на диск?

Если это так, записывает ли он то, что на самом деле было записано, или только указывает, что был создан новый "CD-проект" со списком файлов?

• метод записи - > живой файл System
• оборудование - > внешний DVD-RW привод (извините, все, что я знаю)
• OS - > Windows 7 (возможно профессиональная)
• и запись пользователя, и пользователь, ищущий историю
  администраторы.

Я не верю, что Windows (любая версия) сохраняет историю файлов, записанных на диск. Я огляделся на несколько минут и не нашел никаких доказательств, что это так. У меня есть опыт в компьютерной криминалистике, и я никогда не слышал, чтобы это упоминалось как техника. Единственный способ, которым он может записывать что-либо, если в процессе записи файлов на компакт-диск windows, считается, что эти файлы доступны и, возможно, поместить их в список последних элементов [C:\Users (пользователь Name)\AppData\Roaming\Microsoft\Windows\недавние элементы], и/или если Дата доступа/изменения изменяется в самом файле.

скорее всего, хотя нет никакой истории, но попробуйте посмотреть, появятся ли файлы в этом каталоге или изменится дата доступа.

только если приложение, создавшее компакт-диск, сохраняет собственный журнал или записывает информацию в системные журналы Windows. Сама Windows изначально не хранит эту информацию, нет.

Lumension или подобный продукт могут внести что было скопировано к USB, внешним жестким дискам, компактным дискам и DVDs в журнал. Но это было бы скорее корпоративное решение.

короче говоря, нет конкретного журнала, который записывает, какие файлы записываются на диск

однако на основе ресурсов, представленных ниже, можно попробовать следующее:

С помощью запроса (см. ниже) можно получить службу записи CD/DVD, которая запускается, работает в течение нескольких минут и завершает работу. Полезность этой информации можно соотнести с другими видами артефактов на основе временных меток. Через испытание процесса горения и близкого рассмотрения артефакты из таблицы master file используйте те маркеры, которые были найдены (связанные с копированием или" прожигом " файлов на CD или DVD) и сравните их с данными, извлеченными из запроса.

Если вы используете Windows DVD/CD по умолчанию и ваша файловая система NTFS,да, есть способ.

при использовании функции записи DVD/CD Windows по умолчанию, прежде чем Windows записывает файлы на диск, windows будет хранить файлы на :\Пользователи\\AppData\Local\Microsoft\Windows\Burn а потом стереть их по окончании копирования.

из-за этого вы можете найти записанные файлы, используя $MFT и $UsrJrnl файлы. Я не буду вдаваться в подробности, как это работает, потому что мне нужно будет сделать учебник, но в целом вы идете в таблицу $MFT, чтобы найти путь и получить "HEADER_MFTRecordNumber", затем вы используете это значение для отслеживания всех файлов, которые были записаны на DVD/CD в файле $UsrJrnl.

Читайте также:

  
• Тип оперативной памяти в ноутбуке asus x756u
  
• Тротлит процессор это гарантийный случай
  
• Блок питания atx 450pnf какой вентилятор
  
• С какими двумя целями в компьютер устанавливается второй жесткий диск выберите два варианта
  
• Как изменить тайминги видеокарты