Làm cách nào để tìm kiếm toàn bộ ổ cứng cho các tệp được sửa đổi vào một ngày cụ thể? [bản sao]

Tôi đã nhặt được một con virus cách đây vài giờ và đã xác định được một trong những tập tin của nó. Tôi biết chính xác phút mà virus đã được cài đặt và muốn tìm kiếm toàn bộ ổ cứng của tôi để tìm các tệp được sửa đổi trong phút đó. Có một tiện ích có thể làm điều này? Windows chỉ tìm kiếm tài liệu.

Tôi đang sử dụng Windows 8.

Mở File Explorer từ máy tính để bàn. Điều hướng đến thư mục gốc của ổ cứng của bạn (C: \ có lẽ). Nhấn / Nhấp vào trường tìm kiếm và nhập như sau: System.DateModified:YYYY-MM-DDThh:mm:sstrong đó ngày và giờ là những ngày bạn biết virus đã xuất hiện và được mô tả trong ISO-8601, được hiển thị tại đây: http://www.w3.org/TR/NOTE- datetime .

Các thuật ngữ tìm kiếm Windows được gọi là "Cú pháp truy vấn nâng cao" và chứa một số thuật ngữ hữu ích, hầu hết các thuật ngữ này không được hiển thị cho người dùng cuối thông qua giao diện người dùng tìm kiếm Windows. Đây là một ví dụ, được giải thích trong tài liệu MSDN này: http://msdn.microsoft.com/en-us/l Library / bb266512% 28VS85% 29.aspx trong phần "Thuộc tính DateTime trong Windows 8".

Lưu ý rằng bạn có thể phải mở rộng chỉ mục để tìm kiếm toàn bộ ổ đĩa và cũng chỉ mục đó sẽ không tìm kiếm địa điểm nhất định ( C:\Windows\CSC\ví dụ: một ví dụ).

Có một loạt các cách để làm điều này. Bạn có thể thử một chương trình như

http://www.mythicsoft.com/page.aspx?type=filelocatorlite&page=home

Tôi không sử dụng 8 hoặc thậm chí 7. NHƯNG tôi sẽ sử dụng CMD. Có một vài cách để làm điều đó nhưng cách đơn giản nhất là thực hiện TRỰC TIẾP toàn bộ ổ đĩa với các thư mục con được lọc theo thời gian đã tạo sau đó tìm kiếm một chuỗi phù hợp với định dạng ngày và giờ. Để Dán vào cửa sổ CMD, chỉ cần nhấp chuột phải và chọn dán. (một lần nữa không bao giờ sử dụng win8)

Mã bên dưới không quá phức tạp sẽ tìm kiếm ổ C: cho một tệp được tạo "19/11/2013 06:38 PM" Đầu ra sẽ là C: \ FoundFiles.TXT.

@dir c:\*.* /s /t:c | findstr "01/19/2013  06:38 PM">c:\FoundFiles.TXT 

Mã dưới đây sẽ tìm kiếm các tệp ẩn và xuất ra c: \ FoundHiddenFiles.TXT

@dir c:\*.* /s /a:h /t:c | findstr "01/19/2013  06:38 PM">c:\FoundHiddenFiles.TXT

use / t: a cho các tập tin "truy cập lần cuối" và / t: w cho các tập tin được viết lần cuối

Để mở CMD trong windows 8, chỉ cần tìm kiếm ứng dụng cho CMD. Bạn có thể phải điều chỉnh chuỗi để khớp với đầu ra DIR của bạn đặt trong cửa sổ 8. Ngoài ra tôi không biết nếu windows 8 cho phép bạn truy cập vào C :. Mỗi tìm kiếm chỉ mất một phút, nó sẽ chỉ cung cấp cho bạn tên tệp chứ không phải vị trí và mỗi lần bạn chạy, nó sẽ xóa sạch kết quả tìm kiếm cũ. " . " nên là tùy chọn chỉ cần đặt chúng trong trường hợp.

Hy vọng rằng sẽ giúp được ai đó.

Một điều cuối cùng. Bạn chỉ có thể chuyển toàn bộ ổ đĩa đầu ra ra một tệp Văn bản sau đó tìm kiếm bằng word hoặc notepad hoặc bất cứ thứ gì họ đưa cho bạn bằng windows 8. Các mã dưới đây sẽ xuất ra toàn bộ nội dung của bạn về các ổ cứng được sắp xếp khi các tệp được tạo.

dir c:\*.* /s /o:d /t:c >C:\AllFiles.TXT

Và nếu bạn muốn tìm kiếm tất cả các tập tin ẩn sử dụng

dir c:\*.* /s /o:d /t:c /a:h >C:\AllHiddenFiles.TXT

Tôi đến đây trong tìm kiếm với cùng một vấn đề.

trong Windows 8.1, ngày ở định dạng ISO 8601 (YYYY-MM-DDThh: mm: ss) không hoạt động với tôi nếu tôi thêm Thh: mm: ss vào ngày. Ngày không có thời gian là ok. '2014- 1- 15'

Nhưng điều này đã làm việc với thời gian: 15- 14 tháng 1, 16:24 Bạn có thể cần sử dụng định dạng khu vực của mình, ví dụ: 01/15/14 4:24 chiều hoặc phổ quát: 2014- 1- 15 16:24

Thay vì tìm kiếm thời gian sửa đổi, tôi sẽ đề nghị bạn tìm kiếm các tệp TẠO vào ngày và giờ đó. Vì các tệp đã được tạo / sửa đổi / ngày truy cập: System.DateCreated:15-‎Jan-‎14 16:24

Nó cũng hoạt động mà không có "Hệ thống." cho tôi:DateCreated:‎15-‎Jan-‎14 16:24

Ngoài ra, trong trường hợp của chúng tôi, bạn nên làm cho tìm kiếm của mình rộng hơn, như khoảng thời gian 10 phút:

DateCreated:‎15-‎Jan-‎14 16:24..15-Jan-14 16:34

hoặc có ngày ở định dạng độc lập với ngôn ngữ:

DateCreated:‎2014-‎1-‎15 16:24..2014-‎1-‎15 16:34

bạn đang nhập chuỗi này trong cửa sổ File Explorer trong thư mục gốc trên ổ đĩa chính của bạn (c :) vào hộp Tìm kiếm PC này bên phải hộp văn bản địa chỉ.

Ngoài ra, bạn cần bao gồm Tệp hệ thống trong tìm kiếm vì tôi nghĩ thư mục AppData nằm ngoài không gian được lập chỉ mục và sẽ không được tìm kiếm theo cách khác. Và đó là nơi virus muốn cư trú. Để thực hiện việc này, nhấp vào Tìm kiếm trong Menu, sau đó Tùy chọn nâng cao và Tệp hệ thống BẬT

Trong ngăn kết quả, bạn sẽ thấy ngày SỬA ĐỔI, một số trong phạm vi bạn đã chỉ định. Nếu bạn sẽ xem thuộc tính của từng tệp, bạn sẽ thấy ngày tạo nằm trong phạm vi được chỉ định. Chúng đã được sửa đổi sau khi chúng được tạo ra

(Tôi đã tạo một bức ảnh nhưng không thể đăng nó)

Có một lệnh DOS được gọi là forfiles mà bạn có thể sử dụng

forfiles /P C:\ /S /D -1 /M *.*

bạn cũng có thể sử dụng cú pháp nâng cao hơn như gọi chương trình (hoặc gọi lệnh DOS bằng cmd / c ...)

forfiles /P C:\ /S /D -1 /M *.* /C "cmd /c echo @fname @fdate"

xem forfiles /? cho cú pháp và tham số như @fname, @fdate, v.v.

để mở dấu nhắc lệnh, hãy vào menu Bắt đầu / Tìm kiếm ... và nhập vào CMD và nhấn phím ENTER để mở cửa sổ DOS

(PS Tôi không thể làm cho nó hoạt động trên hệ thống của mình - dường như trả về tất cả các tệp, không chỉ những tệp đã thay đổi một ngày trước đó, như tôi chỉ định với / D -1 - có thể do nó có lỗi với ngày Hy Lạp là DD / MM / YYYY và không MM / DD / YYYY)

ĐÚNG: dường như có một sự hiểu lầm (bởi tôi và những người khác cũng đánh giá từ một tìm kiếm trên mạng) về những gì / D -dd làm, có vẻ như nó không tìm kiếm các tệp đã cũ ngày, nhưng cũ hơn ngày dd

vì vậy bạn cần sử dụng cú pháp / D + dd / MM / yyyy của FORFILES và chuyển vào ngày hôm qua ở đó để tìm tất cả các tệp có ngày lớn hơn ngày hôm qua. Để tự động hóa việc này, bạn có thể sử dụng% date% và phân tích nó với% date: ~ 7,2% /% ngày: ~ 4.2% /% ngày: ~ -4% hoặc đại loại như thế (có thể cần phải sắp xếp lại các phần ngày ở đó tùy thuộc vào địa phương của bạn)