Вопросы Теги

EXE-файлы удалены

Могло бы быть лучше, чтобы говорить с адвокатом специалиста, но если Нельзя 'пересечь границу' с данными, и Вы эффективно делаете это теперь с репликацией, которую я мог только рекомендовать Вам остановить теперь.

В основном Вы оказываетесь перед необходимостью черепок Ваша база данных, это настолько просто.

0
задан 7 September 2018 в 19:47
3 ответа

Звучит как идеальная работа для Windows Sysinternals Process Monitor . Этот мощный инструмент позволяет отслеживать почти все действия в вашей системе.

Несмотря на то, что он мощный, он также может быть опасным, потому что без использования надлежащих фильтров и методов ведения журнала он может оказать значительное влияние на вашу систему (исчерпание виртуальной памяти, чтобы назвать один).

В вашем случае я бы сделал следующее:

  • загрузите Process Monitor, распакуйте и запустите его от имени администратора
  • остановите начальный захват, нажав Ctrl + E
  • измените поддержку файл из виртуальной памяти в файл на диске, чтобы снизить возможную нагрузку на ОЗУ / файл подкачки вашей системы: Файл -> Резервные файлы ... -> Используйте файл с именем (для этого лучше всего подходит отдельный диск / раздел)
  • примените соответствующие фильтры к вашей ситуации: Фильтр -> Фильтр ... выберите Класс события - Файловая система , затем Включить и нажмите Добавить
  • , чтобы еще больше сузить вывод, вы можете указать пути к файлам, которые хотите отслеживать: выберите Путь: <путь> , затем Включить и нажмите Добавить и ОК
  • , чтобы удалить все ненужные события из захвата, выберите Фильтр -> Отфильтровать События
  • начинают записываться при нажатии Ctrl + E

. Это должно дать вам некоторые подсказки о том, что именно происходит с вашими файлами, при этом не оказывая большого влияния на вашу систему.

3
ответ дан 4 December 2019 в 11:04

Вы можете запускать Process Monitor непрерывно, но с фильтром:

  • Операция: SetDispositionInformationFile
  • Результат: УСПЕХ
  • Деталь: Удалить: True

Будет накоплен журнал всех удаленных файлов. В следующий раз, когда вы заметите пропажу файла,

3
ответ дан 4 December 2019 в 11:04

Включите аудит файлов для соответствующих папок. В следующий раз, когда они будут удалены, в средстве просмотра событий будет информация о том, кто / что их удалил.

Возможно, вы захотите включить его только для событий удаления - в противном случае ваше средство просмотра событий будет быстро переполнено стандартными событиями (такими как файл доступ и т. д.).

3
ответ дан 4 December 2019 в 11:04

Теги

Похожие вопросы