如何获取 Windows 中已删除文件的信息,用户通过共享网络删除了哪些文件/文件夹?
是否有一个地方可以记录所有此类信息。如果是,那么在哪里?
我们可以使用 c# 以编程方式跟踪这些细节吗?
问问题
778 次
1 回答
1
不,在文件删除活动之后通常没有证据。除非您有执行日志记录的应用程序,否则不会生成日志。
如果您需要跟踪文件删除,可以使用FileSystemWatcher该类进行。它只会告诉您更改了什么,而不告诉您更改的人是谁,并且只会跟踪本地文件系统上的更改。对于网络共享,这意味着您必须在托管该共享的服务器上运行。
为了跟踪谁在网络共享上进行了删除,我能想到的唯一选择是使用网络数据包检查。这是相当耗费资源和涉及的,因为它需要您手动重新组合和解释 SMB 消息。不简单。如果你真的想尝试这个,那么WinPcap(通过类似SharpPcaporPcapDotNet的东西)会让你访问数据包,并在SMB 协议上做很多阅读。
请注意,这些是要跳入的非常深的水域。
于 2016-02-01T08:29:03.187 回答