(u盘使用痕迹)

网管小贾 / sysadm.cc

最近夜里不太平,没想到今晚又轮到我和小六子值夜。

上班前队长特地吩咐,丞相这几天心情不太好,昨晚又有人意欲行刺,结果让丞相当场斩杀,让我俩打起精神务必小心行事。


好不容易前半夜熬过去了,正以为应该没啥事了,哪成想约莫后半夜四更天的样子,屋里突然有了动静。

我和小六子这心啊一下子都提到嗓子眼了!


“来人啊,快来人!有人动了我的 U 盘!”

我滴天啊,我俩魂都飞了,我就压低声音招呼小六子,怎么没人了,一瞅,好么,这小子早躺地上口吐白沫不省人事了。

没招了,只好我自己一人硬着头皮战战兢兢进入屋内。


“丞...丞...丞相!请...请...请吩咐!”我壮着胆子说道。

“啪”的一下,飞过来一样东西甩我脸上,给我一激灵。

我一捂脸,差点尿了,赶紧跪在地上,这才发现那东西好像是个 U 盘。


“肯定是那些老匹夫,趁我不在把我的小姐姐都拷了去!哇呀呀...给我查查是不是有人拷过我的文件!”

此时的我已然是老泪纵横,瘫软不得动弹,心中万分后悔干了这份要人命的差事,心想丞相唉,我上哪帮你查这案子去啊!

见我没有回应,这丞相一怒之下拔出佩剑,唰地架我脖子边上。

我只觉得上面倒吸一口凉气,下面一股暖流,用力两脚一蹬,不知怎么只听“Duang”的一声重重地摔了下去......


等我挣扎着爬起来时,才发现好像做了个乱七八糟的破梦。

我长出了一口气,把自己收拾利索之后,突然回想起梦中的那个古怪问题:如何知道别人拷贝过 U 盘里的文件!


好么,这是个什么破问题啊,这么一折腾是睡意全无,要不干脆研究研究吧。

看似简单的一个问题结果之后却折腾了我好几天。

我查遍了三山五岳、五湖四海,就差找观士音菩萨了,最后得出结论是系统不记录 U 盘拷贝动作,因此没办法知道有没有人拷贝过文件。

那就真的到此为止了吗?


分析研究

你看哈,如果是从电脑往 U 盘上拷文件,那电脑上至少还留有访问记录可循。

比如 最近访问 一项中就会看到哪些文件被访问过。



就算是你清除掉了这些痕迹还是可以找到一些蛛丝马迹,这在我之前写的《系统偷偷保留的程序使用记录,你知道都在哪儿吗?》中有详细的介绍。

但是现在问题不一样了,就一光杆 U 盘,也没电脑,最多只有自己的电脑。

别人要是拿你 U 盘拷东西也不用到你自己的电脑啊,咱也更不可能去看别人的电脑有没有留下什么痕迹。

“您好!劳驾,看下您的电脑,我怀疑您偷偷拷我文件来着。”

这么说肯定被人打断腿啊!

这不行那不行,就真的没戏了吗?


不同分区格式下

我们这么想哈,拷贝文件那肯定是动过文件,那就多多少少会有一些变化吧。

经过我测试一阵后,发现文件的访问时间会起一些变化。

有时和 U 盘的分区格式还有关系,具体分析如下。


FAT/FAT32 格式下,即使你没有打开或操作这个文件,就算是单纯查看文件属性,其文件访问时间也会发生变化。

我们随便找个 U 盘上的文件试试哈,第一次右键查看属性,访问时间是这样式儿的。



看清楚了吗?

好,关闭这个属性窗口,然后不干别的,还是这个文件,再次右键打开文件属性。

你看看,它的访问时间立马变成了当前最新时间了!



OK,接下来看看 NTFS 格式吧。

和前面一样依葫芦画瓢,只通过查看文件属性来观察访问时间的变化。

第一次查看文件属性,确认访问时间是旧的。



好,关闭属性窗口,再次查看属性中的访问时间。

好么,啥都没干就更新了!



经过前后对比我们可以很清楚地看出,在 NTFS 分区格式下不但和 FAT/FAT32 分区格式下一样文件访问时间起了变化,而且还详细到了具体的时分秒。

啧啧,不愧是 NTFS 啊!


嗯, FAT/FAT32/NTFS 这些善变的家伙我们刚刚领教了,然而通常情况下 U 盘还有一种分区格式 exFAT ,它会是什么情况呢?

不试试怎么知道呢,来吧,前面的测试方法再来一遍。

第一次查看属性,访问时间确认是旧的没问题。



好,再次打开属性查看访问时间...哎...怎么没变化?



是我眼花还是操作有误?

其实都没问题,这个 exFAT 与前面那几位是截然不同,它的原则是,只要你不动它,它就不乱动,即使查看一下属性也是无伤大雅。

当然这里还有个小细节,就是 exFAT 和 FAT/FAT32 一样,文件访问时间没有具体到时分秒。


以上分析过的分区格式至少是 Windows 下 U 盘等移动设备的常见常用分区格式,至于 Linux 或 MacOS 等系统支持的分区格式不在本文讨论范围之内,有机会会再出文章研究的。

好了,到目前为止我们暂时可以得出一个结论,即使用 FAT/FAT32/NTFS 格式的 U 盘,在文件被拷贝之后其访问时间是一定会发生变化的。

即使没有做什么特殊的操作而仅仅是查看文件属性,系统也会更新当前文件的访问时间属性。

不过 exFAT 分区格式下任你怎么搞,也看不出来有什么变化。


那么得出以上结论后,我们对实际如何使用和保护 U 盘资料就可以有所选择了。

比如尽量将 U 盘格式化为 NTFS 格式,现在的 U 盘容量都比较大,完全支持 NTFS 格式。

这种格式可以使访问时间精确到时分秒,更加有利于我们判断文件是否被别人动过。

而通常 U 盘默认格式化的分区格式是 FAT/FAT32 ,那么这种格式呢文件访问时间只能精确到日期,如果当天发生文件被拷事件就无法判断了。

最后最刚的就是 exFAT 格式了,不但日期不能更精确,而且它的访问时时还没变化,起不到判断的作用。


然而事情并没有那么简单

说到这儿,可能有的小伙伴会发现一个 BUG 。

如果怀疑有人拷贝了自己的文件,那我一旦查看了文件的属性,它不就又变化了?

为了不让文件访问时间无故刷新,有什么办法可以不用点开属性就能看到实际的文件访问时间呢?

为此,我自己做了一个小程序(文末下载),通过程序查看就不会影响到访问时间的变化。


比如,FAT32 格式的 U 电脑 盘,可以批量查看里面文件的各个时间,包括创建时间、修改时间和访问时间。



再来格式化成 NTFS 格式试一下。



访问时间精确到时分秒,非常棒!



即使是使用终端程序拷贝文件也会使文件的访问时间发生变化。

不信?我们来试试。

比如将U 盘 X:\path\foo.xxx 文件拷贝到 C:\ 。

copy X:\path\foo.xxx C:\


拷贝前:


电脑


拷贝后:



自制工具下载

网管小贾的文件属性查看器

XJFileProperty.7z(43K)

下载链接:https://pan.baidu.com/s/1c4N4M8u_UXd7E3GviIBjCQ

提取码:<关注公众号,发送 000991>


写在最后

虽说现在是网盘盛行的时代,但是由于有些文档资料,特别是非常重要的资料并不一定适合存放在网盘上。

一旦网盘挂了,那么只能欲哭无泪,万事成蹉跎啊!

因此不少小伙伴肯定选择存放在自己手里的移动设备中,使用方便,随存随取。

但便利的同时也带来了一定的安全隐患,容易丢失或泄漏资料,所以本文也为大家提供一个不是办法的办法来帮助大家处理一些实际情况。

很明显,本文的办法只是一种被动方法,当有人拷贝了文件后,资料已经被泄漏了,所以说最好的保护方案是加密。

最简单的加密方案可以使用 Bitlocker ,有兴趣的小伙伴可以尝试一下。

如果点赞数多,我也会抽空专门写一篇 U 盘使用 Bitlocker 的文章。

好,关注我,关注我,关注我!


PS:有小伙伴提出,根据文章操作自己的 U 盘在 NTFS 格式下并没有预想地会更新文件的访问时间(Last Access Time)。

后来我又尝试了一下,的确非常奇怪,我这边也发生了同样的情况。

要知道文章中我可是有截图作证的,明明访问时间发生了变化,为什么现在又不灵了?

于是我又去查找资料了,总归要有个固定的结论来给小伙伴们一个交代嘛!

好在最终,我查到了!


大家可以参考微软官方文章《 NTFS 是如何工作的》。

http://technet.microsoft.com/en-us/library/cc781134(WS.10).aspx


文章内容太过多,我给大家简单总结一下。

针对访问时间的更新,其实 NTFS 是这样设计的。

为了避免磁盘频繁读写操作而引发性能问题,文件的访问时间更新会有一小时的间隔时间

也就是说,比如你的文件上一次访问时间是上午 9:00 ,那在当天上午 10:00 之前(比如 9:59 )去查看它的属性或拷贝它,它的访问时间是不会更新的。

而一旦超过了一小时(比如 10:01),那么它的访问时间立刻就会更新为当前时间。

并且这个更新时间是非常准确的,不更新不代表它不准确,因为这个访问时间只是暂存在内存中。


话又说回来,NTFS 有这么一个设计BUG 存在,那么我只能深表遗憾。

当真的发生别人拷贝自己文件的情况下,我们至少在事发一个小时之后才可能得知!

哈哈,这么说的话那些有重要资料的小伙伴们还蛋定的了吗,请务必把东西看住啊!

好了, 奇怪的知识又增长了, 小伙伴们可以动手试一试,很有趣的体验哦!

最后别忘记点赞、转发和关注哈!


将技术融入生活,打造有趣之故事

网管小贾 / sysadm.cc


电脑