Wie durchsuche ich die gesamte Festplatte nach Dateien, die an einem bestimmten Datum geändert wurden? [Duplikat]

9

Ich habe vor einigen Stunden einen Virus entdeckt und eine seiner Dateien identifiziert. Ich kenne die genaue Minute, in der der Virus installiert wurde, und möchte meine gesamte Festplatte nach Dateien durchsuchen, die in dieser Minute geändert wurden. Gibt es ein Dienstprogramm, das dies kann? Die Windows-Suche durchsucht nur Dokumente.

Ich benutze Windows 8.

msbg
quelle
2
Sie könnten ein Antivirus verwenden ...
BenjiWiebe
Ich verwende Windows Defender (Security Essentials in Windows 8) + Malwarebytes. MalwareBytes hat nur eine Datei identifiziert und keine hat eine Suchoption.
msbg
Vielleicht ist das alles, was infiziert ist. Es ist möglich, dass der Virus eine Datei war, die noch nichts getan hat. Vielleicht wartete er auf Befehle von einem Hacker. ;)
BenjiWiebe
1
Stimmt, aber ich wäre mir lieber sicher. Es könnte durchaus eine andere Datei geben, die bereit ist, den Virus in ein paar Wochen neu zu installieren.
msbg
1
Ein Programm wie das von mir beschriebene könnte auch unter anderen Umständen
nützlich sein

Antworten:

9

Öffnen Sie den Datei-Explorer vom Desktop aus. Navigieren Sie zum Stammverzeichnis Ihrer Festplatte (C: \ wahrscheinlich). Tippen / Klicken Sie in das Suchfeld und geben Sie Folgendes ein: System.DateModified:YYYY-MM-DDThh:mm:ssWo Datum und Uhrzeit diejenigen sind, von denen Sie wissen, dass der Virus aufgetreten ist und die in ISO-8601 beschrieben sind, siehe hier: http://www.w3.org/TR/NOTE- Datum / Uhrzeit .

Die Windows-Suchbegriffe werden als "Erweiterte Abfragesyntax" bezeichnet und enthalten eine Reihe nützlicher Begriffe, von denen die meisten Endbenutzern nicht über die Windows-Suchoberfläche zur Verfügung gestellt werden. Dies ist ein Beispiel, das in diesem MSDN-Dokument erläutert wird: http://msdn.microsoft.com/en-us/library/bb266512%28VS.85%29.aspx unter Abschnitt "DateTime-Eigenschaften in Windows 8".

Beachten Sie, dass Sie möglicherweise den Index erweitern müssen, um das gesamte Laufwerk zu durchsuchen, und dass der Index bestimmte Orte nicht durchsucht ( C:\Windows\CSC\zum Beispiel).

KAMonica
quelle
Gut, aber ich sehe keine Möglichkeit, nach Minute / Stunde zu suchen.
msbg
Überarbeitet, um zu erklären, wie bis zu dieser Ebene gesucht wird.
KAMonica
Gute Antwort. (Ich wollte PowerShell vorschlagen, aber das ist einfacher).
Guy Thomas
@KA kannst du mir sagen warum keine dieser Arbeiten funktioniert? System.DateModified:>2016-01-04T05:00und System.DateModified:<2016-01-04T05:00. Es soll sein January 4, 2016 at 5 AM. Ich habe ein hinzugefügt, >weil ich mir überlege, wie Sie nach dem Datum und der Uhrzeit aufgeführt sind.
Kokedude
2

Es gibt eine Reihe von Möglichkeiten, dies zu tun. Sie könnten ein Programm wie versuchen

http://www.mythicsoft.com/page.aspx?type=filelocatorlite&page=home

Ich benutze nicht 8 oder sogar 7. ABER ich würde CMD verwenden. Es gibt verschiedene Möglichkeiten, dies zu tun. Am einfachsten ist es jedoch, das gesamte Laufwerk mit Unterordnern zu filtern, die nach der erstellten Zeit gefiltert sind, und dann nach einer Zeichenfolge zu suchen, die dem Datums- und Zeitformat entspricht. Um in ein CMD-Fenster einzufügen, klicken Sie einfach mit der rechten Maustaste und wählen Sie Einfügen. (wieder nie win8 verwendet)

Es ist nicht so kompliziert, dass der folgende Code das Laufwerk C: nach einer Datei durchsucht, die "19.01.2013 18:38 Uhr" erstellt wurde. Die Ausgabe wäre C: \ FoundFiles.TXT.

@dir c:\*.* /s /t:c | findstr "01/19/2013  06:38 PM">c:\FoundFiles.TXT 

Der folgende Code sucht nach versteckten Dateien und gibt sie in c: \ FoundHiddenFiles.TXT aus

@dir c:\*.* /s /a:h /t:c | findstr "01/19/2013  06:38 PM">c:\FoundHiddenFiles.TXT

Verwenden Sie / t: a für Dateien, auf die zuletzt zugegriffen wurde, und / t: w für zuletzt geschriebene Dateien

Um CMD in Windows 8 zu öffnen, suchen Sie einfach in Apps nach CMD. Möglicherweise müssen Sie die Zeichenfolge an Ihre in Fenster 8 eingegebene DIR-Ausgabe anpassen. Außerdem habe ich keine Ahnung, ob Sie in Windows 8 auf C: zugreifen können. Jede Suche sollte nur eine Minute dauern. Sie enthält nur die Dateinamen und nicht den Speicherort. Bei jeder Ausführung wird das alte Suchergebnis gelöscht. Das " . " sollte optional sein. Geben Sie sie für alle Fälle ein.

hoffe das hilft jemandem.

Eine letzte Sache. Sie können das gesamte verdammte Laufwerk einfach in eine Textdatei ausgeben und dann mit Word oder Notepad oder was auch immer sie Ihnen mit Windows 8 geben. Die folgenden Codes geben Ihren gesamten Inhalt Ihrer Festplatten aus, sortiert nach dem Zeitpunkt, an dem die Dateien erstellt wurden.

dir c:\*.* /s /o:d /t:c >C:\AllFiles.TXT

Und wenn Sie nach allen versteckten Dateien suchen möchten, verwenden Sie

dir c:\*.* /s /o:d /t:c /a:h >C:\AllHiddenFiles.TXT
Michael Mantion
quelle
1

Ich bin mit dem gleichen Problem hierher gekommen.

In Windows 8.1 funktionierte das Datum im ISO 8601-Format (JJJJ-MM-TTThh: mm: ss) für mich nicht, wenn ich dem Datum Thh: mm: ss hinzufügte. Datum ohne Zeit war ok. '2014-1-15'

Aber das hat mit der Zeit funktioniert: 15- Jan-14 16:24 Möglicherweise müssen Sie Ihr regionales Format verwenden, z. B. 15.01.14 16:24 oder universal: 2014- 1- 15 16:24

Anstatt nach der Änderungszeit zu suchen, würde ich Ihnen empfehlen, nach Dateien zu suchen, die an diesem Datum und zu dieser Uhrzeit erstellt wurden. Da Dateien Datumsangaben erstellt / geändert / abgerufen haben: System.DateCreated:15-‎Jan-‎14 16:24

Es funktioniert auch ohne "System". für mich:DateCreated:‎15-‎Jan-‎14 16:24

In unserem Fall ist es auch eine gute Idee, Ihre Suche zu erweitern, z. B. 10 Minuten:

DateCreated:‎15-‎Jan-‎14 16:24..15-Jan-14 16:34

oder mit Datum in sprachunabhängigem Format:

DateCreated:‎2014-‎1-‎15 16:24..2014-‎1-‎15 16:34

Sie geben diese Zeichenfolge im Fenster "Datei-Explorer" im Stammverzeichnis Ihres Hauptlaufwerks (c :) in ein Kombinationsfeld "Diesen PC durchsuchen" rechts neben dem Textfeld "Adresse" ein.

Außerdem müssen Sie Systemdateien in die Suche einbeziehen, da sich der AppData-Ordner meines Erachtens außerhalb des indizierten Bereichs befindet und ansonsten nicht durchsucht wird. Und hier leben gerne Viren. Klicken Sie dazu im Menü auf Suchen und dann auf Erweiterte Optionen und Systemdateien

Im Ergebnisbereich werden ÄNDERUNGSDATEN angezeigt, von denen einige außerhalb des von Ihnen angegebenen Bereichs liegen. Wenn Sie sich die Eigenschaft jeder Datei ansehen, sehen Sie, dass das Erstellungsdatum im angegebenen Bereich liegt. Sie wurden nach ihrer Erstellung geändert

(Ich habe ein Bild gemacht, kann es aber nicht posten)

Papo
quelle
1

Es gibt einen DOS-Befehl namens forfiles, den Sie verwenden können

forfiles /P C:\ /S /D -1 /M *.*

Sie können auch eine erweiterte Syntax verwenden, z. B. das Aufrufen eines Programms (oder das Aufrufen eines DOS-Befehls mit cmd / c ...).

forfiles /P C:\ /S /D -1 /M *.* /C "cmd /c echo @fname @fdate"

siehe forfiles /? für Syntax und Parameter wie @fname, @fdate usw.

Um die Eingabeaufforderung zu öffnen, gehen Sie zum Startmenü / Suchen ... und geben Sie CMD ein. Drücken Sie die EINGABETASTE, um das DOS-Fenster zu öffnen

(PS Ich kann es nicht schaffen, auf meinem System zu funktionieren - scheint alle Dateien zurückzugeben, nicht nur die, die einen Tag zuvor geändert wurden, wie ich mit / D -1 angegeben habe - wahrscheinlich, weil es einen Fehler mit griechischen Datumsangaben wie DD / MM / gibt. JJJJ und nicht MM / TT / JJJJ)

KORREKTUR: Es scheint ein Missverständnis (von mir und anderen auch nach einer Suche im Internet zu urteilen) darüber zu geben, was / D -dd tut. Es scheint, dass nicht nach Dateien gesucht wird, die dd Tage alt sind, sondern älter als dd Tage

Sie müssen also die Syntax / D + TT / MM / JJJJ von FORFILES verwenden und dort das gestrige Datum übergeben, um alle Dateien mit einem Datum zu finden, das größer als gestern ist. Um dies zu automatisieren, können Sie% date% verwenden und mit% date: ~ 7,2% /% date: ~ 4,2% /% date: ~ -4% oder ähnlichem analysieren (möglicherweise müssen die Datumsteile neu angeordnet werden dort abhängig von Ihrem Gebietsschema)

George Birbilis
quelle
Beachten Sie, dass Sie in Batch-Dateien %% verwenden müssen, nicht einzelne%
George Birbilis
Übrigens, um Dateien zu finden, die heute geändert wurden, kann man / D +0 verwenden, wie es scheint, und um Dateien zu finden, die älter als heute sind, kann man / D -0 verwenden
George Birbilis