在Christopher Brookmyre的小说中有个故事讲到,所有人都沉浸在欢乐和游戏中,直到一天有个人失去了一只眼睛,一个会黑客技术的人物打开了一台计算机,然后检查boot日志来看看计算机上次运行是什么时候以及运行了多长时间。
然后,她检查了访问目录,以便知道上次哪些文件夹被人打开过。这样的情节到底是小说中编造的呢,还是确实存在呢?
该书是在2005年出版的,因此我们假设这台计算机的操作系统是XP。第一部分很简单,不过你应该看的不是boot日志而是系统事件日志。
启动事件阅读器,你可以在控制面板或者开始菜单的管理工具中找到它,然后点击左边窗口中的系统。调整窗口的大小,以便你看到右边窗口的事件栏。
寻找一个6009的条目——它显示PC什么时候关闭或者重启的。有数个事件会记录开机操作,代码是7035,7036和26,还跟很多服务和核对有关。
右键点击一个事件然后选择属性,它会显示一个简短的说明,你可以通过点击事件属性框中的链接来看到更详细的说明。
薛定谔的文件?
确定文件或文件夹什么时候最后被访问更加困难。Windows系统中的每一个文件和文件夹——NTFS格式和FAT格式的文件系统都一样——有三个关联日期。修改的日期是你在Explorer的默认设置下或者Dos情况下输入“dir”后能看到的。这显示了文件最后保存的日期和时间。
如果你打开一个文件然后保存——即使没有修改——你也将发现这些变化。创建日期是文件在硬盘上当前位置被创建时的日期。因此如果你创建了一个新的文件,在时间显示为1月1日的应用程序上保存它,然后把它复制到时间为1月2日的文件夹,那么复制文档的创建日期会是1月2日,但修改日期是1月1日。
一些文件,比如Jpeg图片或者微软Word文档,在高级选项模式下会保存原始创建日期,但是这个是存储在文件本身当中而不是文件系统里。转移,而不是复制的话,通常文件保存的都是创建日期。
如果你不喜欢某些东西在创建前被修改这种概念,那么你会更不喜欢访问日期的概念。如果你右键点击文件然后选择属性,你可以看到文件的全部三个日期。
但是,右键点击这样的操作也会被算作访问文件,因此上次访问的日期会变为当前的日期和时间。察看文件的属性,就是你修改了它们——似乎系统的设计者是受了量子物理的启发。
如果你的系统是Windows ME,2000或者XP,那么你可以在Explorer的详细察看中会看到全部的三个日期。在ME或者2000中,点击察看菜单,然后‘选择栏目’(XP中是察看,选择详细信息)。勾上创建日期和访问日期的选择框,你就可以看到文件和文件夹额外的栏目。
你也可以在Dos命令下察看访问日期。在XP中,输入dir/ta,会显示最后访问日期—/tc和/tw则会显示创建和最后修改的日期。老版本的Dos上,句法略有不同。
/oa 和/od会分别列出文件的访问和修改日期,但是这有一定局限性。与选择顺序无关,两种情况下你看到的日期都是修改日期。要想两个都能看到,可以使用/v(verbose)切换也可以用分类顺序转换。
说了这么多,就是说察看最后访问日期是不大可行的。例如,在Windows ME中,打开文件夹并不改变最后访问日期。XP系统中,打开文件夹确实改变最后访问时间——但不是立刻改变。
更糟糕的是,还有太多其它的东西,比如Windows 桌面搜索索引以及其他服务,也会改变最后访问日期,因此你不可能分清到底文件夹最后是被用户打开的还是操作系统常规访问到的。
