Peguei um vírus há algumas horas e identifiquei um de seus arquivos. Eu sei o minuto exato em que o vírus foi instalado e gostaria de pesquisar no meu disco rígido inteiro os arquivos modificados naquele minuto. Existe um utilitário que pode fazer isso? A pesquisa do Windows pesquisa apenas documentos.
Estou usando o Windows 8.
Respostas:
Abra o Gerenciador de arquivos na área de trabalho. Navegue até a raiz do seu disco rígido (C: \ provavelmente). Toque / Clique no campo de pesquisa e digite o seguinte:
System.DateModified:YYYY-MM-DDThh:mm:ssonde a data e a hora são as que você sabe que o vírus apareceu e estão descritas na ISO-8601, mostradas aqui: http://www.w3.org/TR/NOTE- data e hora .Os termos de pesquisa do Windows são chamados de "Sintaxe de consulta avançada" e contêm vários termos úteis, a maioria dos quais não são expostos aos usuários finais por meio da interface do usuário de pesquisa do Windows. Este é um exemplo, explicado neste documento do MSDN: http://msdn.microsoft.com/en-us/library/bb266512%28VS.85%29.aspx na seção "Propriedades de DateTime no Windows 8".
Observe que talvez você precise expandir o índice para pesquisar a unidade inteira e também que o índice não pesquisará determinados locais (
C:\Windows\CSC\por exemplo).fonte
System.DateModified:>2016-01-04T05:00eSystem.DateModified:<2016-01-04T05:00. Deveria serJanuary 4, 2016 at 5 AM. Eu adicionei um>porque penso em como você após a data e hora listadas.Existem várias maneiras de fazer isso. Você pode tentar um programa como
http://www.mythicsoft.com/page.aspx?type=filelocatorlite&page=home
Eu não uso 8 ou mesmo 7. MAS eu usaria CMD. Existem algumas maneiras de fazer isso, mas a maneira mais simples seria fazer o DIR de toda a unidade com subpastas filtradas para o horário criado e procurar uma string que corresponda ao formato da data e hora. Para colar em uma janela CMD, clique com o botão direito do mouse e escolha colar. (novamente nunca usado win8)
Não é tão complicado que o código abaixo procuraria na unidade C: um arquivo criado "19/01/2013 06:38", a Saída seria C: \ FoundFiles.TXT.
O código abaixo procurará arquivos ocultos e saída para c: \ FoundHiddenFiles.TXT
use / t: a para arquivos "acessados pela última vez" e / t: w para arquivos gravados pela última vez
Para abrir o CMD no Windows 8, basta procurar nos aplicativos o CMD. Talvez você precise ajustar a string para corresponder à sua saída DIR apresentada na janela 8. Também não tenho idéia se o Windows 8 fornece acesso ao C :. Cada pesquisa deve levar apenas um minuto, fornecendo apenas os nomes dos arquivos, não o local, e cada vez que você a executa, apaga o antigo resultado da pesquisa. o " . " deve ser opcional, basta colocá-los no caso.
Espero que ajude alguém.
Uma última coisa. Você pode simplesmente direcionar toda a unidade danificada para um arquivo de texto e, em seguida, pesquisar com palavra ou bloco de notas ou o que quer que eles tenham com o Windows 8. Os códigos abaixo exibirão todo o conteúdo de seus discos rígidos classificados para quando os arquivos foram criados.
E se você quiser procurar todos os arquivos ocultos, use
fonte
Eu vim aqui em busca do mesmo problema.
no Windows 8.1, a data no formato ISO 8601 (AAAA-MM-DDThh: mm: ss) não funcionaria para mim se eu adicionasse Thh: mm: ss à data. Data sem hora foi ok. «2014- 1-15»
Mas isso funcionou com o tempo: 15 a 14 de janeiro - 16:24. Você pode precisar usar o formato regional, por exemplo, 15/01/14 16:24 ou universal: 2014 - 1-15 16:24
Em vez de procurar a hora da modificação, sugiro que você procure arquivos CREATED nessa data e hora. Como os arquivos criaram / modificaram / acessaram as datas:
System.DateCreated:15-Jan-14 16:24Também está funcionando sem "Sistema". para mim:
DateCreated:15-Jan-14 16:24Além disso, no nosso caso, é uma boa ideia ampliar sua pesquisa, como um período de 10 minutos:
ou com data em formato independente do idioma:
você está inserindo essa sequência na janela File Explorer no diretório raiz da unidade principal (c :) em uma caixa de combinação Search This PC à direita da caixa de texto do endereço.
Além disso, você precisa incluir os arquivos do sistema na pesquisa, porque acho que a pasta AppData está fora do espaço indexado e não será pesquisada de outra forma. E é aí que os vírus gostam de residir. Para fazer isso, clique em Pesquisar no menu, em Opções avançadas e arquivos do sistema
No painel de resultados, você verá as datas de MODIFICAÇÃO, algumas fora do intervalo especificado. Se você olhar para a propriedade de cada arquivo, verá que a data de criação está no intervalo especificado. Eles foram modificados após serem criados
(Eu fiz uma foto, mas não posso publicá-la)
fonte
Existe um comando do DOS chamado forfiles que você pode usar
você também pode usar sintaxe mais avançada, como chamar um programa (ou chamar um comando do DOS com cmd / c ...)
veja forfiles /? para sintaxe e parâmetros como @fname, @fdate etc.
para abrir o prompt de comando, vá ao menu Iniciar / Pesquisar ..., digite CMD e pressione a tecla ENTER para abrir a janela do DOS
(PS: Não consigo fazê-lo funcionar no meu sistema - parece retornar todos os arquivos, não apenas os que foram alterados um dia antes, como especifico com / D -1 - provavelmente porque ele tem um erro, com datas gregas sendo DD / MM / AAAA e não MM / DD / AAAA)
CORREÇÃO: parece haver um mal-entendido (por mim e por outros que também julgam uma pesquisa na rede) sobre o que o / D -dd faz, parece que não procura por arquivos com dias de dias em dd, mas com mais de dias em dias
portanto, é necessário usar a sintaxe / D + dd / MM / aaaa de FORFILES e passar a data de ontem para encontrar todos os arquivos com data maior que ontem. Para automatizar isso, você pode usar% date% e analisá-lo com% date: ~ 7,2% /% date: ~ 4,2% /% date: ~ -4% ou algo assim (pode ser necessário reordenar as partes da data dependendo da sua localidade)
fonte