如何在Windows中获取已删除文件的信息,用户通过共享网络删除文件/文件夹?
是否存在Window记录所有此类信息的位置。如果是,那么在哪里?
我们可以使用c#?
以编程方式跟踪此类详细信息答案 0 :(得分:1)
不,在文件删除活动之后通常没有证据。除非您有一个执行日志记录的应用程序,否则不会生成任何日志。
如果您需要跟踪文件删除,可以使用FileSystemWatcher类来执行此操作。它只会告诉您更改了哪些,而不是谁进行了更改,并且只会跟踪本地文件系统的更改。对于网络共享,这意味着您必须在承载共享的服务器上运行。
为了跟踪谁在网络共享上删除,我能想到的唯一选择是使用网络数据包检查。这涉及资源非常昂贵,因为它需要您手动重新组装和解释SMB消息。不简单。如果你真的想试试这个,那么WinPcap(通过像SharpPcap或PcapDotNet之类的东西)会让你访问数据包,并在SMB protocol上做很多阅读
请注意,这些是非常深的水域。