数据泄密我能知

榆林2014-08-06 14:56专题 标签:数据安全 窃听风云

对PC的访问一般会反映在文件属性的改变上,如果文件被修改,则文件修改时间属性会发生变化,如果文件只被读取而未被修改,则也会有文件访问时间属性的变化。此外,访问过的程序或文件,在系统的事件记录中也会有相应的记录。我们可以通过这些来判断系统中的数据是否被人动过。

1. 从文件时间属性看文件是否被访问

怀疑前天自己编辑的文件被人动过吗?右键单击文件,查看一下其属性,通过“创建时间”、“修改时间”、“访问时间”等具体属性,可一目了然获知该文件被修改和访问的时间情况(图1)。

1414ASW-FZSJBJK-1

图1 通过时间属性查明文件被修改和访问情况

小提示:

别以为这一招是万能的,狡猾的家伙会将文件访问时间更改掉,让人以为别人没看过或改过自己的文件。如果黑客控制了我们的电脑,并访问了某些文件,在访问完毕后,如果他愿意,完全可以将访问文件的时间改回到原来的时间,或者改为更早期的时间。比如若电脑中有拖把更名器之类的软件,就可以用它来更改时间标记。对文件完成访问后,启动拖把更名器,点击工具栏上的更改文件日期按钮,在弹出的窗口中随意更改文件的三项日期,还可对成批文件一次性操作(图2)。如果看的是图片文件,还可以用看图软件XnView的时间戳更改功能来更改照片的拍摄日期、数字化日期、编辑日期等。

1414ASW-FZSJBJK-2 

图2 用拖把更名器的时间更改功能改变文件时间属性

1414ASW-FZSJBJK-3 

图3 用看图软件XnView的时间戳更改功能修改文件时间

2. 用搜索软件按时间搜索被访问文件

虽然查看过的文件的日期可以被更改,但只要系统在运行,难免会有系统中的日志文件、配置文件等的日期发生变化并被留存下来,哪怕是在关机的一刹那或黑客离开的一刹那。那么,如何才能找到那些在特定时间段内属性发生变化的程序或文档呢?

我们可以用FileSeek Pro软件按日期搜索筛选文件,查看被访问情况。从某些软件的配置文件、文档的日期上判断在自己未曾使用电脑的时间段内被运行的程序或文件。

启动FileSeek Pro软件,设定搜索路径(将本地所有分区均添加进去),搜索文件设定为“*.*”(图4);切换到“日期筛选”选项卡,定义需要搜索的日期时间范围(图5),点击“搜索”即可获得该日期范围发生变动的文件列表。

1414ASW-FZSJBJK-4 

图4 设定文件搜索的路径和类别

1414ASW-FZSJBJK-5 

图5 设定文件三种日期属性范围

3. 按系统日志时间筛选查看事件记录

除了通过文件时间来查看访问痕迹外,还有一个现成的利器是系统的事件管理器,通过它可以记录各方面的数据访问情况。

右键单击Windows 8.1开始按钮并选择“计算机管理”,点击“事件查看器”,选择相应的日志类别,筛选当前日志,记录时间选择为“自定义范围”,定义第一个事件和最后一个事件发生的时间(图6),确定之后会显示这一时间段内系统、应用程序、安全、设置、已转发事件等方面的详细情况,根据记录的情况判断是否有外部可疑操作。

1414ASW-FZSJBJK-6

图6 通过系统日志时间查看事件记录