列出从开机到现在 计算机所有删除的和修改的 文件路径...

admin

列出从开机到现在 计算机所有删除的和修改的  文件路径和文件名

https://github.com/jschicht/ExtractUsnJrnl 提取 USN 日志
https://sites.google.com/site/fo ... -tracker?authuser=0 解析 USN 日志
https://github.com/trustedsec/tscopy 配合这个软件 导出$MFT文件 可以看到文件路径
(MFT相关的知识我是看的这个帖子https://blog.csdn.net/vrix/article/details/3934509  也没看懂,但是猜测MFT文件可能就是那个$MFT 没想到猜对了)

相关命令:
需要用管理员权限打开cmd
ExtractUsnJrnl64.exe
参数忘记了 我是直接导出的C盘的  不需要指定存储路径 默认存储在软件的目录

TScopy_x64.exe -f c:\$MFT -o d:\tmp\     
这个比较大 我的有1G多

最后用那个分析工具分析