История удаления файлов

Содержание

Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell

История удаления файлов

Я думаю, многие сталкивались с задачей, когда к Вам приходят и спрашивают: «У нас тут файл пропал на общем ресурсе, был и не стало, похоже кто-то удалил, Вы можете проверить кто это сделал?» В лучшем случае вы говорите, что у вас нет времени, в худшем пытаетесь найти в логах упоминание данного файла.

А уж когда включен файловый аудит на файловом сервере, логи там, мягко говоря «ну очень большие», и найти что-то там — нереально.

Вот и я, после очередного такого вопроса (ладно бекапы делаются несколько раз в день) и моего ответа, что: «Я не знаю кто это сделал, но файл я Вам восстановлю», решил, что меня это в корне не устраивает…

Начнем

Для начала включим к групповых политиках возможность аудита доступа к файлам и папкам. Локальные политики безопасности->Конфигурация расширенной политики безопасности->Доступ к объектам Включим «Аудит файловой системы» на успех и отказ. После этого на необходимые нам папки необходимо настроить аудит.

Проходим в свойства папки общего доступа на файловом сервере, переходим в закладку «Безопасность», жмем «Дополнительно», переходим в закладку «Аудит», жмем «Изменить» и «Добавить». Выбираем пользователей для которых вести аудит. Рекомендую выбрать «Все», иначе бессмысленно. Уровень применения «Для этой папки и ее подпапок и файлов».

Выбираем действия над которыми мы хотим вести аудит. Я выбрал «Создание файлов/дозапись данных» Успех/Отказ, «Создание папок/дозапись данных» Успех/отказ, Удаление подпапок и файлов и просто удаление, так же на Успех/Отказ. Жмем ОК. Ждем применения политик аудита на все файлы. После этого в журнале событий безопасности, будет появляться очень много событий доступа к файлам и папкам.

Количество событий прямопропорционально зависит от количества работающих пользователей с общим ресурсом, и, конечно же, от активности использования. Итак, данные мы уже имеем в логах, остается только их оттуда вытащить, и только те, которые нас интересуют, без лишней «воды».

После этого акурратно построчно занесем наши данные в текстовый файл разделяя данные симовлами табуляции, чтобы в дальнейшем, к примеру, открыть их табличным редактором. #Задаем период, в течении которого мы будем запускать один раз скрипт, и искать нужные нам события. Здесь период задан – 1 час. Т.е. проверяются все события за последний час.

$time = (get-date) – (new-timespan -min 60) #$BodyL – переменная для записи в лог-файл$BodyL = “” #$Body – переменная, в которую записываются ВСЕ события с нужным ID. $Body = Get-WinEvent -FilterHashtable @{LogName=”Security”;ID=4663;StartTime=$Time}|where{ ([xml]$_.ToXml()).Event.EventData.Data |where {$_.name -eq “ObjectName”}|where {($_.'#text') -notmatch “.

*tmp”} |where {($_.'#text') -notmatch “.*~lock*”}|where {($_.'#text') -notmatch “.*~$*”}} |select TimeCreated, @{n=”Файл_”;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “ObjectName”} | %{$_.'#text'}}},@{n=”Пользователь_”;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “SubjectUserName”} | %{$_.

'#text'}}} |sort TimeCreated #Далее в цикле проверяем содержит ли событие определенное слово (к примеру название шары, например: Secret) foreach ($bod in $body){ if ($Body -match “.*Secret*”){ #Если содержит, то пишем в переменную $BodyL данные в первую строчку: время, полный путь файла, имя пользователя.

И #в конце строчки переводим каретку на новую строчку, чтобы писать следующую строчку с данными о новом файле. И так #до тех пор, пока переменная $BodyL не будет содержать в себе все данные о доступах к файлам пользователей. $BodyL=$BodyL+$Bod.TimeCreated+”`t”+$Bod.Файл_+”`t”+$Bod.Пользователь_+”`n” }} #Т.к.

записей может быть очень много (в зависимости от активности использования общего ресурса), то лучше разбить лог #на дни. Каждый день – новый лог. Имя лога состоит из Названия AccessFile и даты: день, месяц, год.$Day = $time.day$Month = $Time.Month$Year = $Time.Year$name = “AccessFile-“+$Day+”-“+$Month+”-“+$Year+”.txt”$Outfile = “\serverServerLogFilesAccessFileLog”+$name #Пишем нашу переменную со всеми данными за последний час в лог-файл.$BodyL | out-file $Outfile -append

А теперь очень интересный скрипт

Скрипт пишет лог об удаленных файлах. #Переменная $Time тут имеет такое же назначение как в предыдущем скрипте. $time = (get-date) – (new-timespan -min 60) #$Events – содержит время и порядковый номер записи евента с ID=4660. И сортируем по порядковому номеру.

#!!!!Это важное замечание!!! При удалении файла создается сразу 2 записи, с ID=4660 и ID=4663.$Events = Get-WinEvent -FilterHashtable @{LogName=”Security”;ID=4660;StartTime=$time} | Select TimeCreated,@{n=”Запись”;e={([xml]$_.ToXml()).Event.System.EventRecordID}} |sort Запись #Самые важные команды поиска.

Опишу принцип ниже, после листинга скрипта.$BodyL = “”$TimeSpan = new-TimeSpan -sec 1foreach($event in $events){ $PrevEvent = $Event.Запись $PrevEvent = $PrevEvent – 1 $TimeEvent = $Event.

TimeCreated $TimeEventEnd = $TimeEvent+$TimeSpan $TimeEventStart = $TimeEvent- (new-timespan -sec 1) $Body = Get-WinEvent -FilterHashtable @{LogName=”Security”;ID=4663;StartTime=$TimeEventStart;EndTime=$TimeEventEnd} |where {([xml]$_.ToXml()).Event.System.EventRecordID -match “$PrevEvent”}|where{ ([xml]$_.ToXml()).Event.EventData.

Data |where {$_.name -eq “ObjectName”}|where {($_.'#text') -notmatch “.*tmp”} |where {($_.'#text') -notmatch “.*~lock*”}|where {($_.'#text') -notmatch “.*~$*”}} |select TimeCreated, @{n=”Файл_”;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “ObjectName”} | %{$_.

'#text'}}},@{n=”Пользователь_”;e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “SubjectUserName”} | %{$_.

'#text'}}} if ($Body -match “.*Secret*”){ $BodyL=$BodyL+$Body.TimeCreated+”`t”+$Body.Файл_+”`t”+$Body.Пользователь_+”`n” }} $Month = $Time.Month$Year = $Time.Year$name = “DeletedFiles-“+$Month+”-“+$Year+”.txt”$Outfile = “\serverServerLogFilesDeletedFilesLog”+$name $BodyL | out-file $Outfile -append

Как оказалось при удалении файлов и удалении дескрипторов создается одно и тоже событие в логе, под ID=4663. При этом в теле сообщения могут быть разные значения «Операции доступа»: Запись данных (или добавление файла), DELETE и т.д.

Конечно же нас интересует операция DELETE. Но и это еще не все. Самое интересное, то что, при обычном переименовании файла создается 2 события с ID 4663, первое с Операцией доступа: DELETE, а второе с операцией: Запись данных (или добавление файла). Значит если просто отбирать 4663 то мы будем иметь очень много недостоверной информации: куда попадут файлы и удаленные и просто переименованные. Однако мной было замечено, что при явном удалении файла создается еще одно событие с ID 4660, в котором, если внимательно изучить тело сообщения, содержится имя пользователя и еще много всякой служебной информации, но нет имени файла. Зато есть код дескриптора. Однако предшествующим данному событию было событие с ID 4663. Где как раз таки и указывается и имя файла, и имя пользователя и время, и операция как не странно там DELETE. И самое главное там имеется номер дескриптора, который соответствует номеру дескриптора из события выше (4660, помните? которое создается при явном удалении файла). Значит теперь, чтобы точно знать какие файлы удалены, необходимо просто найти все события с ID 4660, а так же предшествующие каждому этому событию, событие с кодом 4663, в котором будет содержаться номер нужного дескриптора. Эти 2 события генерируются одновременно при удалении файла, но записываются последовательно, сначала 4663, потом 4660. При этом их порядковые номера различаются на один. У 4660 порядковый номер на единицу больше чем у 4663. Именно по этому свойству и ищется нужное событие. Т.е. берутся все события с ID 4660. У них берется 2 свойства, время создания и порядковый номер. Далее в цикле по одному берется каждое событие 4660. Выбирается его свойства, время и порядковый номер. Далее в переменную $PrevEvent заносится номер нужного нам события, где содержится нужная информация об удаленном файле. А так же определяются временные рамки в которых необходимо искать данное событие с определенным порядковым номером (с тем самым который мы занесли в $PrevEvent). Т.к. событие генерируется практически одновременно, то поиск сократим до 2х секунд: + — 1 секунда. (Да, именно +1 сек и -1 сек, почему именно так, не могу сказать, было выявлено экспериментально, если не прибавлять секунду, то некоторые может не найти, возможно связано с тем, что возможно два эти события могут создаваться один раньше другой позже и наоборот). Сразу оговорюсь, что искать только по порядковому номеру по всем событиям в течении часа — очень долго, т.к. порядковый номер находиться в теле события, и чтобы его определить, нужно пропарсить каждое событие — это очень долго. Именно поэтому необходим такой маленький период в 2 секунда (+-1сек от события 4660, помните?). Именно в этом временном промежутке ищется событие с необходимым порядковым номером. После того как оно найдено, работают фильтры:|where{ ([xml]$_.ToXml()).Event.EventData.Data |where {$_.name -eq “ObjectName”}|where {($_.'#text') -notmatch “.*tmp”} |where {($_.'#text') -notmatch “.*~lock*”}|where {($_.'#text') -notmatch “.*~$*”}} Т.е. не записываем информацию об удаленных временных файлах (.*tmp), файлах блокировок документов MS Office (.*lock), и временных файлах MS Office (.*~$*) Таким же образом берем необходимые поля из этого события, и пишем их в переменную $BodyL. После нахождения всех событий, пишем $BodyL в текстовый файл лога. Для лога удаленных файлов я использую схему: один файл на один месяц с именем содержащим номер месяца и год). Т.к. удаленных файлов в разы меньше чем файлов к которым был доступ. В итоге вместо бесконечного «рытья» логов в поисках правды, можно открыть лог-файл любым табличным редактором и просмотреть нужные нам данные по пользователю или файлу.

Рекомендации

Вам придется самим определить время в течении которого вы будете искать нужные события. Чем больше период, тем дольше ищет. Все зависит от производительности сервера. Если слабенький — то начните с 10 минут. Посмотрите, как быстро отработает.

Если дольше 10 минут, то либо увеличьте еще, вдруг поможет, либо наоборот уменьшите период до 5 минут.

После того как определите период времени. Поместите данный скрипт в планировщик задач и укажите, что выполнять данный скрипт необходимо каждые 5,10,60 минут (в зависимости какой период вы указали в скрипте).

У меня указано каждый 60 минут. $time = (get-date) — (new-timespan -min 60).

PS

У меня оба эти скрипта работают для сетевого ресурса в 100Гб, на котором ежедневно активно работают в среднем 50 пользователей. Время поиска удаленных файлов за час — 10-15 минут.

Время поиска всех файлов, к которым был доступ — от 3 до 10 минут. В зависимости от нагрузки на сервер.

  • powershell
  • мониторинг сервера
  • мониторинг

Хабы:

Источник: https://habr.com/ru/post/150149/

Заметаем следы. Как заставить Windows удалить историю, логи, кеши и все забыть

История удаления файлов

Списки открытых файлов и подключенных по USB устройств, история браузера, кеш DNS — все это помогает узнать, что делал пользователь. Мы составили пошаговую инструкцию, как убрать следы своей деятельности в разных версиях Windows, Office и популярных браузерах. В конце статьи ты найдешь несколько скриптов, которые помогут тебе автоматически поддерживать чистоту на своей машине.

Начнем уборку со списков недавних мест и программ. Список недавних (в Windows 10 — часто используемых) программ находится в главном меню, а список недавних мест — в проводнике.

Список часто используемых программ в Windows 7 и 10Другие статьи в выпуске:

  • выпуска
  • Подписка на «Хакер»

Список часто используемых папок и последних файлов

Как отключить это безобразие? В Windows 7 — щелкнуть правой кнопкой мыши на кнопке «Пуск», выбрать «Свойства» и в появившемся окне снять обе галочки в разделе «Конфиденциальность».

Отключаем хранение списка последних программ в Windows 7

Чтобы очистить список последних мест и документов, нужно удалить содержимое каталога %appdata%\Microsoft\Windows\Recent. Для этого открой командную строку и выполни две команды:

cd %appdata%\Microsoft\Windows\Recent echo y | del *.*

Также не помешает удалить содержимое каталога %appdata%\microsoft\windows\recent\automaticdestinations\. В нем хранятся последние файлы, которые отображаются в списке перехода:

cd %appdata%\microsoft\windows\recent\automaticdestinations\ echo y | del *.*

Далее эти строчки пригодятся нам, когда будем писать собственный скрипт для очистки системы от следов нашего пребывания в ней.

Чтобы последние файлы очищались автоматически при выходе, нужно включить политику «Очищать журнал недавно открывавшихся документов при выходе», которая находится в разделе «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач».

Теперь переходим к Windows 10. Отключить список недавно добавленных и часто используемых приложений можно через окно «Параметры». Открой его и перейди в раздел «Персонализация», пункт «Пуск». Отключи все, что там есть.

Отключение хранения списка программ в Windows 10

Кажется, что проблема решена, но это, увы, не совсем так. Если включить эти параметры снова, то все списки в таком же составе появятся вновь.

Поэтому придется отключать эту фичу через групповую политику. Открой gpedit.msc и перейди в раздел «Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач».

Включи следующие политики:

  • «Очистка списка недавно использовавшихся программ для новых пользователей»;
  • «Очистить журнал недавно открывавшихся документов при выходе»;
  • «Очистить журнал уведомлений на плитке при выходе»;
  • «Удалить список программ, закрепленных в меню „Пуск“».

Групповая политика

Очистить недавние места в Windows 10 проще, чем в «семерке». Открой проводник, перейди на вкладку «Вид» и нажми кнопку «Параметры». В появившемся окне отключи параметры «Показывать недавно использовавшиеся файлы на панели быстрого доступа» и «Показывать часто используемые папки на панели быстрого доступа». Не забудь нажать кнопку «Очистить».

Параметры папок Windows 10

Как видишь, у такой простой задачи, как очистка последних объектов, довольно непростое решение. Без редактирования групповых политик — никуда.

На некоторых режимных объектах к компьютеру разрешено подключать только флешки, зарегистрированные в журнале. Причем, как водится, журнал самый что ни на есть обычный — бумажный.

То есть сам компьютер никак не ограничивает подключение незарегистрированных накопителей.

Не ограничивает, зато протоколирует! И если при проверке обнаружат, что пользователь подключал незарегистрированные накопители, у него будут проблемы.

Мы ни в коем случае не советуем тебе пытаться украсть военные секреты, но умение очищать список недавно подключавшихся накопителей может пригодиться и в других жизненных ситуациях. Чтобы сделать это, загляни в следующие разделы реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\

Вот они — все накопители, которые ты подключал к своему компу.

Раздел реестра с историей подключения накопителей

Казалось бы, нужно просто взять и все почистить. Но не тут-то было! Во-первых, разрешения на эти ветки реестра установлены таким образом, что ты ничего не удалишь даже в «семерке», не говоря уже о «десятке».

Упс…

Во-вторых, назначать права и разрешения вручную долго, особенно если накопителей много. В-третьих, права админа не помогут. Скриншот выше был создан, когда я выполнял операцию удаления как раз с правами админа. В-четвертых, кроме этих двух разделов, нужно почистить еще длинный список разделов. Причем их нужно не просто удалять, а грамотно редактировать.

Если тебе по каким-то причинам понадобится сделать все вручную, то ищи по ключевым словам MountPoints, MountedDevices DeviceClasses и RemovableMedia. Но куда проще использовать готовую программу, которая сделает все за тебя.

На некоторых форумах для этого рекомендуют USBDeview. Однако я ее протестировал и заявляю, что она вычищает информацию далеко не из всех нужных разделов.

USBSTOR и USB продолжают содержать информацию о подключавшихся носителях.

Могу порекомендовать программу USB Oblivion. Запусти ее, поставь галочку «Произвести реальную очистку». Параметр «Сохранить .reg-файл отмены» можешь включить или нет, но если цель не проверить программу, а подготовиться к грядущей инспекции компьютера, то лучше выключить.
USB Oblivion

Программа не только чистит реестр, но и выводит подробный лог своих действий (см. ниже). Когда она завершит работу, не останется никаких упоминаний о подключении накопителей к компьютеру.

USB Oblivion в действии

Третий пункт в нашем туду — очистка кеша и журнала браузеров. Тут сложностей никаких — каждый браузер позволяет сбросить список недавно посещенных сайтов.

Edge. Очистить список загруженных файлов и все журналы можно с помощью «Концентратора». Просто щелкни соответствующие ссылки. При очистке журнала нужно выбрать все чекбоксы и нажать кнопку «Очистить».

«Концентратор»Генеральная уборка в Edge

Firefox. Открой настройки, перейди в раздел «Приватность», нажми ссылку «Удалить вашу недавнюю историю», выбери «Все», нажми кнопку «Удалить сейчас».

Чистим Firefox

Chrome. Нажми Ctrl + Shift + Del, на появившейся странице выбери очистку за все время, отметь все чекбоксы и нажми кнопку «Очистить историю».

Очистка Chrome

Opera. Выбери «Меню (Opera) → Настройки → Удалить личные данные». Принцип тот же — выбираем все, нажимаем кнопку «Удалить».

IE. Да кто его использует? Если что, рекомендации ты найдешь на сайте Microsoft.

В результате ты не только сотрешь следы, но и слегка освободишь диск. Чтобы не чистить заново, можешь продолжить пользоваться браузером в режиме инкогнито.

Конечно, админ при желании заметит лог на шлюзе, но на твоем компьютере все будет чисто. Оптимальное решение — использовать Tor.

В этом случае даже админ не увидит, какие сайты ты посещаешь (при условии, что за твоей спиной нет камеры наблюдения).

Если ты используешь не один браузер, а несколько и чистить нужно периодически, то можно использовать одну из специализированных утилит. Я протестировал Free History Eraser, и результат оказался средним: что-то почищено, что-то нет (журнал Edge, к примеру, остался нетронутым). Так что в важных случаях не забывай проверить вручную.

Free History Eraser

Узнать, какие сайты ты посещал, можно не только из журнала браузера, но еще и из кеша DNS. Когда ты вводишь адрес сайта в браузере, твой компьютер обращается к DNS, чтобы превратить имя сайта в IP-адрес.

Кеш полученных ранее имен хранится у тебя локально. Просмотреть его можно командой ipconfig /displaydns. Вывод показывать не буду, он слишком длинный.

Для очистки этого кеша используется другая команда — ipconfig /flushdns.

За тобой следят все кому не лень. Даже Flash — и тот отслеживает твои посещения. Flash Cookies собираются в каталоге %appdata%\Macromedia\Flash Player#SharedObjects. Что с ним сделать, ты уже догадался — удалять к такой-то матери. Для скриптования этого процесса пригодятся вот эти две строчки:

cd %appdata%\Macromedia\Flash Player\#SharedObjects echo y | del *.*

Для удобства пользователей список последних документов хранят все программы офисного пакета.

Чтобы пресечь это безобразие, в новых версиях Office нужно в параметрах перейти в раздел «Дополнительно», установить число последних документов равным единице (обрати внимание — на скриншоте есть два параметра, которые нужно поменять на единицу). Значение 0 программа установить не позволит, поэтому последним нужно будет открыть какой-нибудь безобидный файл.

Параметры Word 2016

В более старых версиях на вкладке «Общие» окна параметров можно либо тоже установить значение 1, либо вообще отключить параметр «Помнить список из N файлов».

Word 2003

Обрати внимание, что нам нужна именно версия CCleaner Desktop, а не CCleaner Cloud. Последняя стоит денег, и ее набор функций значительно шире, чем нам нужно. Переходим по ссылке и выбираем версию Free.

Чем мне нравится CCleaner — так это тем, что он:

  • поддерживает последние версии Windows, последние версии браузеров, в том числе Edge (в отличие от Free History Eraser);
  • может очистить не только систему, но и приложения;
  • может работать в режиме пакетной обработки — чуть ниже я покажу, как это реализуется.

Очистка системы при помощи CCleanerОчистка приложений в CCleaner

Пользоваться программой проще простого — выбери те элементы, которые хочешь очистить, и нажми кнопку «Очистка».

Есть и еще одна программа для очистки всей системы — Windows Cleaner. Правда, на ее сайте указано, что она поддерживает только системы до Windows 8 включительно. Действительно, в Windows 10 программа не работала так, как нужно (во всяком случае, с очисткой журнала Edge она не справилась). Но на более старых «Окнах» она вполне имеет право на существование.

Windows Cleaner

Все мы знаем, что при удалении файл на самом деле не стирается. Удаляется только запись о нем, а сами данные все еще продолжают существовать где-то на диске.

Поэтому для полного удаления информации нужно использовать специальные утилиты, которые затирают свободное пространство диска нулями или случайными данными. После этого восстановить файлы не получится.

В предыдущих шагах мы уже много чего удаляли, поэтому самое время затереть свободное пространство, чтобы нельзя было восстановить вообще ничего.

Существует много утилит для затирания информации. Но мы будем использовать то, что уже у нас есть, а именно CCleaner.

Зайди в «Сервис → Стирание дисков», выбери диск, который хочешь очистить от недобитых файлов, укажи стирать «Только свободное место» и задай способ стирания.

Приложение поддерживает несколько стандартов стирания — от самого простого, подразумевающего одну перезапись, до метода Гутмана (35 проходов).

Стирание свободного места

Из конкурентов CCleaner интересна, к примеру, программа BCWipe — она может не только стирать свободное пространство, но и удалять файл подкачки, который также может содержать конфиденциальную информацию. BCWipe стоит денег, но для одноразового стирания подойдет и trial-версия.

Теперь попытаемся автоматизировать некоторые описанные ранее операции. Начнем с удаления файлов из каталога Recent. Удалять командой del, как было показано выше, можно, но лучше сразу использовать CCleaner для безопасного удаления.

\путь\CCleaner.exe /delete “%appdata%\Microsoft\Windows\Recent\*” 1 \путь\CCleaner.exe /delete %appdata%\microsoft\windows\recent\automaticdestinations\*” 1 \путь\CCleaner.exe /delete “%appdata%\Macromedia\Flash Player\#SharedObjects” 1

К сожалению, CCleaner нельзя вызвать так, чтобы он почистил в режиме командной строки все свободное пространство, поэтому придется удалять файлы через него, а не командой del или же использовать команду del, а потом вручную запустить его и вызвать очистку свободного пространства. Последний параметр (1) означает удаление с тремя проходами. Это оптимальный режим, поскольку с одним проходом (0) — слишком просто, а все остальные — слишком долго. С полным перечнем параметров командной строки CCleaner можно ознакомиться на сайте разработчиков.

Из командной строки можно чистить и список USB-накопителей при помощи USB Oblivion:

\путь\USBOblivion.exe -enable -auto -nosave -silent

Первый параметр запускает реальную очистку, а не симуляцию. Второй — работу в автоматическом режиме (тебе не придется нажимать кнопку), файлы .reg сохраняться не будут (-nosave), а параметр -silent означает работу в тихом режиме — как раз для командной строки.

Далее нужно запустить CCleaner с параметром /AUTO для автоматической очистки по умолчанию. Это не очистит кеш DNS, так что придется сделать это вручную:

\путь\CCleaner.exe /AUTO ipconfig /flushdns

В итоге у нас получился вот такой сценарий:

\путь\CCleaner.exe /delete “%appdata%\Microsoft\Windows\Recent\*” 1 \путь\CCleaner.exe /delete %appdata%\microsoft\windows\recent\automaticdestinations\*” 1 \путь\CCleaner.exe /delete “%appdata%\Macromedia\Flash Player\#SharedObjects” 1 \путь\USBOblivion.exe -enable -auto -nosave -silent \путь\CCleaner.exe /AUTO ipconfig /flushdns

Теперь напишем еще один скрипт. Он будет открывать браузер Chrome в режиме инкогнито, а после окончания сессии (будет задан WinWaitClose) запускать CCleaner для автоматической очистки — будет удален кеш браузера и временные файлы. После этого очистим еще и кеш DNS.

Run, C:\path\to\chrome.exe –incognito WinWait, – Google Chrome WinWaitClose Run, C:\путь\ccleaner.exe /AUTO Run, cmd /c “ipconfig /flushdns” MsgBox, Browsing Session is Cleaned.

Если ты пользуешься Firefox, измени первую строчку, указав путь к Firefox и параметр -private вместо –incognito. Для запуска скрипта можешь использовать AutoHotkey.

Источник: https://xakep.ru/2016/05/05/windows-delete-history/

Как посмотреть историю удаления файлов на компьютере

История удаления файлов

Некоторым пользователям ПК может потребоваться узнать, что происходило в системе в прошлом: когда компьютер включался, какие приложения запускались, историю браузера и т.д.

Это может понадобиться, например, родителям, которые контролируют, как их дети используют компьютер или по другим причинам.

О том, как посмотреть историю на компьютере несколькими способами, будет рассказано в тексте ниже.

Узнать историю Windows

Просмотр истории действий на ПК, чего делали куда заходили

В операционной системе Windows присутствует штатный инструмент, который позволяет получить информацию о том, как использовался компьютер и что происходило с системой (например, какие ошибки возникали).

Автор cherd (Черман Дмитрий) напишите мне на почту (costigan991@gmail.com), у меня к вам есть интересное предложение. И откажитесь от данного задания.

Посмотреть историю действий на компьютере можно соответствующим инструментом под названием «Журнал событий». Чтобы его запустить достаточно выполнить следующий ряд действий:

  1. Открыть меню «Пуск» и кликнуть на «Панель управления» (в Windows 8 и Windows 10 это делается немного по-другому);
  2. В строке поиска нужно написать «Журнал событий» (в Windows 8 и Windows 10 нужно в строке поиска «Пуск» написать «Журнал событий»);
  3. Отобразится пункт «Журнал событий» – кликните по нему.

    Журнал событий Windows

После выполнения этого действия откроется окно. В левой части экрана отображаются категории событий, тогда как в правой – имена и описания самих событий.

Узнаем какие программы и приложения запускались

Категорий достаточно много, и большинство из них обычному пользователю ни к чему. Наиболее часто простого пользователя ПК интересует то, какие приложения запускались. Узнать это довольно просто. Соответствующая информация содержится в категории «Журналы Windows» – «Приложения».

Смотрим запущенные приложения

Если зайти туда, то можно увидеть историю на компьютере, что было запущено. Например, на изображении выше можно увидеть, что запускался сервис обновлений Skype. Также там можно узнать и то, в какое время это произошло и какой результат был у данного действия. После этих не сложных действий вы можете посмотреть историю на компьютере.

Если, в свою очередь, захочется узнать, какие приложения были установлены, то можно заглянуть в раздел «Установка». Там отражена информация об инсталляции не только сторонних программ, но и встроенных в систему сервисах.

Проверка запущенных приложений с помощью специальной программы

Однако работать с «Журналом событий» довольно сложно. Поэтому некоторым может такой способ не подойти. Однако решение есть – можно воспользоваться одним из сторонних специальных приложений, чтобы найти историю на компьютере.

Например, существует простая программа «Executed programs list», которая, будучи запущенной, работает в фоне (то есть никак не проявляет себя, пока пользователь ее не откроет). При помощи нее можно узнать, какие приложения запускались на ПК. При этом она представляет информацию в виде простого списка, в котором указывают пути расположения программ и время их запуска.

Последняя активность на ПК

Если нужно знать, не только то, какие программы запускались, но и в какие папки заходил пользователь, то можно воспользоваться другим приложением – «LastActivityView«. Соответствующая программа настолько же минималистична и проста, как и первая, но собирает значительно больше информации.

Как узнать время ВКЛ/ВЫКЛ компьютера

Некоторых пользователей интересует просмотр времени включения и выключения компьютера. Сделать это можно при помощи все того же журнала событий Windows. Запустив соответствующий инструмент потребуется перейти в «Система».

Время запуска ПК

Оказавшись в нужной подкатегории понадобится отыскать пункт, в качестве значения источника для которого значится «Kernel-General» – именно он отвечает за обозначение времени запуска и отключения ПК.

В качестве описания соответствующего события должно значиться «Системное время запуска (или завершения работы)…». После этого сообщения указывается то, когда ПК включался или выключался.

Смотрим изменённые файлы на ПК

Теперь давайте посмотрим историю измененных файлов на ПК. Сделать это еще проще, чем узнать историю действий на компьютере. Для этого понадобится:

  1. Зайти в директорию, в которой находятся интересующие вас файлы;
  2. Сделать ПКМ по файлу, для которого вы хотите узнать время изменения;
  3. Откроется окно, в котором нужно найти пункт «Изменен:»;
  4. Напротив соответствующего пункта будет указана дата и время, в которые выполнялось последнее редактирование».

    Время изменения файла

Чтобы узнать, какие файлы на компьютере редактировались за определенный период времени, можно воспользоваться уже упомянутой выше программой «LastActivityView».

Проверяем историю посещения сайтов в браузере

И последнее, что следует рассмотреть – это то, как посмотреть историю посещений в браузере. Но здесь сразу следует оговориться, что особенности процесса зависят от конкретного веб-браузера, который установлен на компьютере. Их очень много, поэтому рассмотрим выполнение этой операции только на примере двух самых популярных – Google Chrome (и основанных на Chromium) и Firefox.

История браузера Chrome

Чтобы посмотреть историю в браузере Google Chrome (а также Yandex.Browser, Opera и т.д.) нужно:

  1. Запустить сам браузер;
  2. Выполнить сочетание клавиш CTRL+H.

После выполнения соответствующих действий отобразится страница, на которой будут находиться информация обо всех открытых страницах в веб-обозревателе.

История браузера Firefox

Чтобы посмотреть историю действий в браузере Firefox нужно выполнить несколько иной ряд действий:

  1. Открыть меню;
  2. Выбрать пункт «Журнал» – «Показать весь журнал».

Откроется окно, в котором можно узнать какие сайты и страницы были открыты в браузере за все время. Также есть возможность узнать, что открывалось за определенный период (например, за последние сутки или за неделю).

Но, конечно, следует брать во внимание, что историю абсолютно в любом браузере на компьютере очень легко подчистить. Поэтому, если «хистори» смотрится с целью узнать, что делает за компьютером ребенок, то, велика вероятность, что родитель вовсе не увидит там никакой информации.

Узнать посещенные страницы в Интернете

В этом случае лучше установить специальное приложение, через которое можно собирать достоверную информацию о том, на какие сайты заходит пользователь. Одним из таких приложений является NeoSpy.

В программе предусмотрена функция скрытой установки, благодаря которой никто, кроме того, кто ее устанавливал, не узнает о том, что она работает (это справедливо, по крайней мере, для не очень подкованных пользователей ПК).

О том, как устанавливать приложение и как им пользоваться присутствует много информации в Интернете.

, как посмотреть историю на вашем компьютере

Это основные способы просмотра истории действий на компьютере и в браузере. В большинстве случаев их хватает, чтобы составить максимально полное представление о том, что происходило на ПК за определенное время.

Источник: http://lifehacki.ru/kak-posmotret-istoriyu-na-kompyutere/

Как посмотреть историю посещения сайтов, даже если она удалена

Вопрос пользователя

Здравствуйте.

Подскажите пожалуйста, где-нибудь на компьютере сохраняются ли посещенные мной сайты? Дело в том, что читал одну интересную статью, но убей не могу вспомнить на каком сайте…

Доброго времени суток!

Источник: https://ichudoru.com/kak-posmotret-istoriyu-udaleniya-faylov-na-kompyutere/

Восстановление файлов с помощью функции «История файлов» в Windows 10

История удаления файлов

Читайте, как правильно использовать функцию Windows “История файлов”. Как с её помощью восстановить утерянный файл.

История файлов в Windows 10 – это, наверное, основная из функций для резервирования и восстановления данных данной версии операционной системы.

Несмотря на название, История файлов – это не просто способ восстановления предыдущей версии файлов, это полнофункциональный инструмент резервирования данных.

После настройки Истории файлов, можно просто подключить внешнее устройство хранения информации и Windows будет автоматически резервировать данные на него. Если внешний жесткий диск будет подключен постоянно, операционная система будет делать бэкап по расписанию.

Активация

В отличие от комплексных инструментов резервного копирования, включить Историю файлов быстро и просто. Для начала, подключите внешний жесткий диск к компьютеру. Потом перейдите в Параметры в меню Пуск и в появившемся меню выберите раздел «Обновление и Безопасность» > «Служба архивации».

Нажав «Добавление диска», просто укажите его и Windows будет его использовать для Истории файлов. Появится опция «Автоматическое резервное копирование файлов» и будет автоматически включена. Windows будет автоматически создавать резервную копию ваших файлов на данном диске, в момент его подключения к компьютеру.

Настройка

Для настройки периодичности создания резервной копии файлов, срока её хранения и, что самое главное – указания того, какие файлы резервировать, выбираем «Другие параметры».

По умолчанию установлено резервное копирование файлов будет происходить «Каждый час», но данное время можно изменить. Можно установить каждые 10, 15, 20, 30 минут, 1, 3, 6, 12 часов или один раз в день.

Также, по умолчанию установлен срок хранения резервных копий – «Всегда». Но можно установить их удаление через 1, 3, 6, 9 месяцев, 1 или 2 года. Есть возможность настроить автоматическое удаление файлов «Истории файлов», когда понадобится свободное пространство на диске.

По умолчанию установлено, что История файлов будет создавать резервную копию только некоторых папок вашего аккаунта. Это Рабочий стол, Документы, Загрузки, Музыка, Изображения, , OneDrive, и т.д. Все эти папки можно также увидеть в окне Параметры архивации. В случае необходимости, к данному перечню можно добавить и другие папки.

Для этого выберите «Добавить папку» и выберите любую папку из вашего компьютера. Также, из данного перечня можно удалить любую из папок: просто кликните на ней и нажмите кнопку «Удалить».

Обратите внимание, что в Windows 8 нет возможности добавлять папки в «Историю файлов». И если у вас есть такая необходимость, добавьте нужную папку в Библиотеку.

Кроме этого, есть раздел «Исключить эти папки», в который можно добавить папку, резервную копию файлов которой нет необходимости создавать.

Например, вы установили, что Windows будет создавать резервную копию папки «Документы». Но внутри «Документов» находится папка, резервировать которую ненужно – такую папку можно исключить.

Если необходимо изменить диск, на который будет сохраняться История файлов – нажимаем «Прекращение использование диска». После чего вам будет предложено выбрать другой диск для Истории файлов. Из предыдущего диска данные не удалятся, но Windows может одновременно работать только с одним диском для Истории файлов.

Но это ещё не все настройки Истории файлов. Кликаем ссылку «Посмотреть дополнительные параметры», которая находится внизу окна «Параметры архивации» и попадаем в окно Панели управления.

Выбираем в столбике слева «Дополнительные параметры» и видим настройку параметров сохранения версий Истории файлов и Журнал событий.

Также с помощью данного меню можно очистить (удалить) старые версии Истории файлов или предложить другим компьютерам группы (если вы состоите в такой) создавать Историю файлов на вашем диске.

Восстановление файлов из резервной копии с помощью Истории Файлов

Чтобы восстановить файлы из внешнего диска, откройте «Параметры» в меню Пуск и выберите «Обновление и безопасность» / «Служба архивации» / «Другие параметры». Затем, внизу открывшегося окна выберите «Восстановить файлы из текущей резервной копии».

Также можно открыть «Панель управления», перейти в «Система и безопасность», и выбрать «История файлов» / «Восстановление личных файлов».

Примечание. Если вы создавали Историю файлов на другом компьютере, можете настроить её на новом компьютере и для этого выбрать диск, на котором вы раннее уже создавали Историю файлов.

В таком случае, новый компьютер увидит и текущую Историю файлов и ту, которая была создана раннее на другом компьютере – файлы можно будет восстановить в обоих случаях, как будто бы История файлов из старого компьютера была создана на текущем.

Предлагаемый интерфейс даёт возможность просмотреть созданные раннее бэкапы и восстановить файлы из них. Просто выбери те папки или файлы, которые необходимо восстановить. Кликнув правой кнопкой мышки на файле, можно сделать его предварительный просмотр. Чтобы восстановить файл или папку, необходимо нажать зелёную кнопку, которая находится по центру нижней панели.

Если вам доступны несколько резервных копий данных, которые были сделаны в разное время, то вы можете выбирать один из них с помощью клавиш стрелок – вправо или влево, или просто кликая по ним мышкой.

Восстановление файлов из Диспетчера файлов

Предыдущую версию файла также можно быстро восстановить с помощью Диспетчера Файлов. Для этого перейдите в папку, предыдущую версию файла из которой необходимо восстановить и выберите «Восстановить прежнюю версию».

Также можно кликнуть на файле правой кнопкой мышки и выбрать «Свойства», закладка «Предыдущие версии».

Любая предыдущая версия файла из Истории файлов будет доступна здесь. Данные версии файлов можно предварительно просмотреть, восстановить в папку, в которой файл находился раннее или любое другое место.

Можно просмотреть предыдущую версию не только отдельного файла но и всей папки. Для этого, выделите нужную папку и в верхнем меню выберите «Журнал».

Вам будет предоставлен список файлов данной папки, предыдущие версии которых можно восстановить. Это тот же интерфейс, если восстанавливать файлы через меню «История файлов». Но с помощью Диспетчера файлов это можно сделать быстрее и проще.

История файлов – это очень простая и удобная опция для восстановления файлов, и ко всему этому абсолютно бесплатна.

Хотя это только одна из нескольких функций резервного копирования и восстановления файлов предлагаемая Windows 10, но на наш взгляд она является наиболее применимой для рядового пользователя ПК.

Ведь касается она восстановления именно отдельных файлов, а не системы или носителя в целом, например после переустановки Windows.

Если же вы, читая данную статью уже утеряли ваши файлы по тем или иным причинам, и понимаете, что История файлов у вас не активирована, то на данный момент выходом из сложившейся ситуации будет только одна из программ для восстановления файлов.

Источник: https://HetmanRecovery.com/ru/recovery_news/file-recovery-with-file-history-in-windows10.htm

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.