防黑又一招 检查文件的最后修改时间

　　这是个要求精确的技术：确定文件或文件夹最后被访问的时间。

　　在Christopher Brookmyre的小说中有个故事讲到，所有人都沉浸在欢乐和游戏中，直到一天有个人失去了一只眼睛，一个会黑客技术的人物打开了一台计算机，然后检查boot日志来看看计算机上次运行是什么时候以及运行了多长时间。

　　然后，她检查了访问目录，以便知道上次哪些文件夹被人打开过。这样的情节到底是小说中编造的呢，还是确实存在呢？

　　该书是在2005年出版的，因此我们假设这台计算机的操作系统是XP。第一部分很简单，不过你应该看的不是boot日志而是系统事件日志。

　　启动事件阅读器，你可以在控制面板或者开始菜单的管理工具中找到它，然后点击左边窗口中的系统。调整窗口的大小，以便你看到右边窗口的事件栏。

　　寻找一个6009的条目——它显示PC什么时候关闭或者重启的。有数个事件会记录开机操作，代码是7035，7036和26，还跟很多服务和核对有关。

　　右键点击一个事件然后选择属性，它会显示一个简短的说明，你可以通过点击事件属性框中的链接来看到更详细的说明。

　　薛定谔的文件？

　　确定文件或文件夹什么时候最后被访问更加困难。Windows系统中的每一个文件和文件夹——NTFS格式和FAT格式的文件系统都一样——有三个关联日期。修改的日期是你在Explorer的默认设置下或者Dos情况下输入“dir”后能看到的。这显示了文件最后保存的日期和时间。

　　如果你打开一个文件然后保存——即使没有修改——你也将发现这些变化。创建日期是文件在硬盘上当前位置被创建时的日期。因此如果你创建了一个新的文件，在时间显示为1月1日的应用程序上保存它，然后把它复制到时间为1月2日的文件夹，那么复制文档的创建日期会是1月2日，但修改日期是1月1日。

　　一些文件，比如Jpeg图片或者微软Word文档，在高级选项模式下会保存原始创建日期，但是这个是存储在文件本身当中而不是文件系统里。转移，而不是复制的话，通常文件保存的都是创建日期。

　　如果你不喜欢某些东西在创建前被修改这种概念，那么你会更不喜欢访问日期的概念。如果你右键点击文件然后选择属性，你可以看到文件的全部三个日期。