标签: windows delphi computer-forensics
我在Delphi中编写了一个枚举卷上所有文件的模块。 如何了解自上次备份以来更新/删除/创建的文件? 注意到对文件进行任何更新后,FileUSNReference号和ParentFileUSNReference号都会发生变化。如果我在之前的备份期间存储了文件详细信息,并且如果我将这些数字与当前的参考编号进行比较,我可以知道文件已经更改。 只需要知道这是否是一个可靠的方法,因为这只是我的观察,我不知道这是不是应该如何