可通过系统日志、USB痕迹、剪贴板历史、时间戳、命令行记录及第三方工具核查文件是否被复制:一查事件查看器中USB插拔记录;二查Win+V剪贴板历史;三分析文件访问时间戳;四检查PowerShell/CMD命令历史;五用USBDeview、RecentX、Velociraptor等工具深度取证。
如果怀疑电脑中的文件曾被他人复制或导出,可通过系统日志、USB设备使用痕迹、剪贴板历史及第三方工具等途径进行核查。以下是具体操作方法:
一、检查Windows事件查看器中的USB设备插拔记录
Windows系统会自动记录外部存储设备(如U盘、移动硬盘)的连接与断开事件,这些记录可间接反映拷贝行为发生的时间窗口。
1、按 Win + R 打开运行框,输入 eventvwr.msc 并回车,打开事件查看器。
2、依次展开左侧树形菜单:“Windows 日志” → “系统”。
3、在右侧操作面板点击 “筛选当前日志”,在“事件来源”中勾选 “Microsoft-Windows-DriverFrameworks-UserMode”,并在“事件ID”栏输入 2003, 2101, 2102(分别对应设备安装、首次使用、移除事件)。
4、点击确定后,查看筛选出的日志条目,重点关注 “任务类别”为“Device Install”且“信息”中含“USBSTOR”或设备厂商名 的记录。
二、查看剪贴板历史记录(仅限Windows 10/11启用状态下)
若用户曾通过复制(Ctrl+C)方式批量提取文本或小体积内容,且系统启用了剪贴板历史功能,则可能保留近期复制项。
1、按 Win + V 打开剪贴板历史面板(需提前在设置中开启该功能)。
2、若提示“剪贴板历史已关闭”,则前往 “设置 → 系统 → 剪贴板”,将 “剪贴板历史”开关设为“开”。
3、在剪贴板历史列表中,观察各条目的时间戳和内容片段,注意是否有异常大段文本、路径名或敏感字段。
三、分析文件访问与修改时间戳(需结合上下文判断)
操作系统会为每个文件记录创建、修改、访问时间(MAC时间),但仅凭时间戳无法直接确认是否被拷贝,需配合其他线索交叉验证。
1、在资源管理器中右键目标文件夹 → “属性” → “详细信息”选项卡,查看“上次访问时间”是否明显晚于“上次修改时间”。
2、打开PowerShell(管理员权限),执行命令:Get-ChildItem "C:\敏感目录" -Recurse | Where-Object {$_.LastAccessTime -gt (Get-Date).AddHours(-24)} | Select-Object FullName, LastAccessTime,筛选24小时内被访问过的文件。
3、注意:Windows默认禁用LastAccessTime更新以提升性能,因此该时间可能长期不变化;若此前已手动启用(通过fsutil behavior set disablelastaccess 0),结果才具参考性。
四、检查Windows PowerShell或CMD命令历史(若曾使用命令行拷贝)
若对方通过xcopy、robocopy、copy等命令执行批量复制,其命令可能残留在PowerShell或CMD的历史缓存中。
1、以当前用户身份启动PowerShell,执行:Get-PSReadlineOption | Select-Object HistorySavePath,确认历史文件路径。
2、使用记事本打开该路径下的 ConsoleHost_history.txt 文件,搜索关键词如 "copy"、"xcopy"、"robocopy"、"cp"、"rsync"。
3、若使用CMD,按下 F7 可调出命令历史缓冲区,或检查注册表路径 HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun 是否存在可疑脚本调用。
五、使用第三方取证工具扫描隐写与传输痕迹
专业工具可深度解析卷影副本、Prefetch文件、Shellbags注册表项及USBSTOR注册表残留,识别更隐蔽的拷贝活动。
1、下载并运行便携版 USBDeview(NirSoft出品),无需安装,直接查看所有曾接入本机的USB存储设备列表,含序列号、厂商、首次/最后连接时间。
2、运行 RecentX(或ShellBags Explorer),加载注册表配置单元 NTUSER.DAT 和 SOFTWARE,分析用户最近打开过的文件夹路径及时间。
3、使用 Velociraptor(开源DFIR工具) 加载预设采集器,运行 "Windows.USBSysmon" 和 "Windows.FileActivity" 模块,生成包含文件读取、进程调用、设备挂载的时序报告。
