如何查找远程受害PC中的文件用法(远程PC取证)

来自维基百科
“Forfiles”   是Windows命令,它首先可用于Windows Vista操作系统,它允许命令行用户运行命令以了解过去10天或30天使用的文件的使用情况,它们有几个选项可以让事情变得更有趣这有助于网络取证
选项对于命令提示符中的forfile
显示修改日期的过去天数(选项/ D)
按名称搜索文件(选项/ M)
显示子目录中的文件(选项/ S)
显示特定目录中的文件(选项/ P)



如何查找过去30天内使用的所有.txt或.xslx或.exe文件

forfiles / D -30 / S / M * .exe / C“cmd / c echo @path”
下图显示了过去30天内使用的所有.exe文件
如何查找远程受害PC中的文件用法(远程PC取证)
在上面的命令中,@ path只用于显示文件的完整路径,而我们可以使用@fdate(文件日期),@ ftime(文件时间),@ fsize(文件大小),@ fname(文件名), @file(带扩展名的名字),@ ext(扩展名)。这里我们可以在单次执行中使用多个命令
例如:forfiles /D -30 /S /M *.exe /C “cmd /c echo  @ext  @fname  @fdate”
以下将显示扩展文件和文件日期
如何查找远程受害PC中的文件用法(远程PC取证)


按日期查找特定目录中文件的使用情况

Forfiles  /P d: /S /D +2/26/2015
下面的图像显示按给定日期显示(d :)目录中的所有文件
日期很灵活,目录也可以是(d:c:e:etc ......)
如何查找远程受害PC中的文件用法(远程PC取证)


如何查找过去30天使用的文件的用法

forfiles /p d: /s /D -30
在下面的图像中,它似乎显示了所有

如何查找远程受害PC中的文件用法(远程PC取证)
转载请注明本文链接: http://www.mayidui.net/t2412.html
话题: 远程PC取证
游客
登录后才可以回帖,登录 或者 注册