Come cercare nell'intero disco rigido i file modificati in una data particolare? [duplicare]

9

Ho rilevato un virus poche ore fa e ho identificato uno dei suoi file. Conosco il minuto esatto in cui è stato installato il virus e vorrei cercare nel mio intero disco rigido i file modificati in quel minuto. C'è un'utilità che può fare questo? La ricerca di Windows cerca solo i documenti.

Sto usando Windows 8.

windows  windows-8  search  date-modified 
MSBG
fonte
2
Potresti usare un antivirus ...
BenjiWiebe,
Sto usando Windows Defender (Security Essentials in Windows 8) + Malwarebytes. MalwareBytes ha identificato un solo file e nessuno dei due ha un'opzione per la ricerca.
msgg
Forse è tutto ciò che è infetto. Si è possibile che il virus è stato un file che non aveva ancora fatto nulla. Forse stava aspettando i comandi di un hacker. ;)
BenjiWiebe,
1
Vero, ma preferirei esserne certo. Potrebbe esserci un altro file pronto per reinstallare il virus in poche settimane.
msgg
1
Un programma come quello che ho descritto potrebbe anche tornare utile in altre circostanze
msgg

Risposte:

9

Apri Esplora file dal desktop. Passare alla radice del disco rigido (C: \ probabilmente). Tocca / System.DateModified:YYYY-MM-DDThh:mm:ssfai clic nel campo di ricerca e digita come segue: dove la data e l'ora sono quelle che conosci il virus è apparso e sono descritte in ISO-8601, mostrato qui: http://www.w3.org/TR/NOTE- datetime .

I termini di ricerca di Windows sono chiamati "Sintassi della query avanzata" e contengono una serie di termini utili, molti dei quali non sono esposti agli utenti finali tramite l'interfaccia utente della ricerca di Windows. Questo è un esempio, spiegato in questo documento MSDN: http://msdn.microsoft.com/en-us/library/bb266512%28VS.85%29.aspx nella sezione "Proprietà DateTime in Windows 8".

Si noti che potrebbe essere necessario espandere l'indice per cercare l'intera unità e anche che l'indice non cercherà determinate posizioni ( C:\Windows\CSC\per un esempio).

KAMonica
fonte
Bene, ma non vedo alcuna opzione per la ricerca al minuto / ora.
msgg
Revisionato per spiegare come cercare fino a quel livello.
KAMonica,
Bella risposta. (Stavo per suggerire PowerShell, ma questo è più facile).
Guy Thomas,
@KA, puoi dirmi perché nessuno di questi lavori? System.DateModified:>2016-01-04T05:00e System.DateModified:<2016-01-04T05:00. Dovrebbe essere January 4, 2016 at 5 AM. Ho aggiunto un >perché penso a come hai elencato la data e l'ora.
cokedude
2

Ci sono molti modi per farlo. Potresti provare un programma come

http://www.mythicsoft.com/page.aspx?type=filelocatorlite&page=home

Non uso 8 o nemmeno 7. MA vorrei usare CMD. Esistono un paio di modi per farlo, ma il modo più semplice sarebbe DIR l'intero disco con le sottocartelle filtrate per l'ora di creazione, quindi cercare una stringa che corrisponda al formato di data e ora. Per incollare in una finestra CMD, fai clic con il pulsante destro del mouse e scegli incolla. (di nuovo mai usato win8)

Non è così complicato che il codice seguente cercherebbe nell'unità C: un file creato "19/01/2013 alle 06:38 PM", l'output sarebbe C: \ FoundFiles.TXT. 

@dir c:\*.* /s /t:c | findstr "01/19/2013  06:38 PM">c:\FoundFiles.TXT

Il codice seguente cercherà i file nascosti e li produrrà in c: \ FoundHiddenFiles.TXT

@dir c:\*.* /s /a:h /t:c | findstr "01/19/2013  06:38 PM">c:\FoundHiddenFiles.TXT

usa / t: a per i file "ultimo accesso" e / t: w per i file scritti per ultimi

Per aprire CMD in Windows 8 basta cercare CMD nelle app. Potrebbe essere necessario regolare la stringa in modo che corrisponda all'output DIR inserito nella finestra 8. Inoltre, non ho idea se Windows 8 ti dia accesso a C :. Ogni ricerca dovrebbe richiedere solo un minuto, ti darà solo i nomi dei file e non la posizione e ogni volta che lo eseguirai cancellerà il vecchio risultato della ricerca. il " . " dovrebbe essere facoltativo, inseriscili per ogni evenienza.

spero che aiuti qualcuno.

Un'ultima cosa. Potresti semplicemente indirizzare l'intero disco dannato in uscita su un file di testo, quindi cercare con Word o Blocco note o qualsiasi cosa ti diano con Windows 8. I codici di seguito mostreranno l'intero contenuto dei tuoi dischi rigidi ordinati per quando sono stati creati i file.

dir c:\*.* /s /o:d /t:c >C:\AllFiles.TXT

E se vuoi cercare tutti i file nascosti, usa

dir c:\*.* /s /o:d /t:c /a:h >C:\AllHiddenFiles.TXT
Michael Mantion
fonte
1

Sono venuto qui alla ricerca con lo stesso problema.

in Windows 8.1, la data in formato ISO 8601 (AAAA-MM-GGThh: mm: ss) non ha funzionato per me se ho aggiunto Thh: mm: ss alla data. La data senza ora era ok. '2014- 1- 15'

Ma questo ha funzionato con il tempo: 15-14 gennaio 16:24 Potrebbe essere necessario utilizzare il formato regionale, ad es. 15/01/14 16:24 o universale: 2014- 1-15 16:24

Invece di cercare l'ora di modifica, ti suggerirei di cercare i file CREATI in quella data e ora. Poiché i file hanno creato / modificato / accesso alle date: System.DateCreated:15-‎Jan-‎14 16:24

Funziona anche senza "Sistema". per me:DateCreated:‎15-‎Jan-‎14 16:24

Inoltre, nel nostro caso, è consigliabile ampliare la ricerca, ad esempio un periodo di 10 minuti:

DateCreated:‎15-‎Jan-‎14 16:24..15-Jan-14 16:34

o con data in formato indipendente dalla lingua:

DateCreated:‎2014-‎1-‎15 16:24..2014-‎1-‎15 16:34

stai inserendo questa stringa nella finestra Esplora file nella directory principale dell'unità principale (c :) in una casella combinata Cerca nel PC a destra della casella di testo dell'indirizzo.

Inoltre è necessario includere i file di sistema nella ricerca perché penso che la cartella AppData sia al di fuori dello spazio indicizzato e non verrà cercata diversamente. Ed è qui che i virus amano risiedere. Per fare ciò, fai clic su Cerca nel menu, quindi su Opzioni avanzate e file di sistema

Nel riquadro dei risultati, vedrai le date di MODIFICA, alcune fuori dall'intervallo specificato. Se guarderai la proprietà di ogni file, vedrai che la data di creazione è nell'intervallo specificato. Sono stati modificati dopo essere stati creati

(Ho fatto una foto ma non posso pubblicarla)

papo
fonte
1

C'è un comando DOS chiamato forfile che potresti usare

forfiles /P C:\ /S /D -1 /M *.*

puoi usare anche sintassi più avanzate come chiamare un programma (o chiamare un comando DOS con cmd / c ...)

forfiles /P C:\ /S /D -1 /M *.* /C "cmd /c echo @fname @fdate"

vedi forfiles /? per sintassi e parametri come @fname, @fdate ecc.

per aprire il prompt dei comandi vai al menu Start / Cerca ... e digita CMD e premi il tasto INVIO per aprire la finestra DOS

(PS non riesco a farlo funzionare sul mio sistema - sembra restituire tutti i file, non solo quelli cambiati il ​​giorno prima, come ho specificato con / D -1 - probabilmente perché ha un bug con date greche che sono DD / MM / AAAA e non MM / GG / AAAA)

CORREZIONE: sembra che ci sia un malinteso (da parte mia e di altri a giudicare da una ricerca in rete) su cosa fa / D -dd, sembra che non cerchi file che hanno gg giorni, ma che sono più vecchi di gg giorni

quindi devi usare la sintassi / D + gg / MM / aaaa di FORFILES e passare lì la data di ieri per trovare tutti i file con data maggiore di ieri. Per automatizzare questo è possibile utilizzare% date% e analizzarlo con% date: ~ 7,2% /% date: ~ 4,2% /% date: ~ -4% o qualcosa del genere (potrebbe essere necessario riordinare le parti della data lì a seconda delle impostazioni locali)

George Birbilis
fonte
Si noti che nei file batch è necessario utilizzare %%, non un singolo%
George Birbilis,
tra l'altro, per trovare i file modificati oggi è possibile utilizzare / D +0 come sembra e per trovare file più vecchi di oggi è possibile utilizzare / D -0
George Birbilis
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.