在公共场合下,保存在计算机系统中的重要数据文件,随时都有可能被有意、无意地删除掉,造成这种现象的原因主要表现在两个方面,一是用户在操作计算机系统的时候由于粗心大意,不小心删除了文件,二是不少狡猾的病毒、木马程序为了达到破坏或攻击目的,可能会悄悄地删除系统中的重要数据文件。那么,如何才能准确知道自己的哪些数据文件已经被删除了呢?究竟是谁偷偷删除了我们的数据文件呢?
强制系统记忆被删痕迹
默认状态下,Windows系统不会自动记忆被有意或无意删除的各类文件,要想记忆它们的删除痕迹,一定要依赖Windows系统的日志功能。日志文件作为自动记忆系统工作状态的特殊文件,善于利于该文件,就能对文件删除操作进行跟踪记忆了;但是,系统日志功能默认不会跟踪记忆系统的所有运行状态,不然的话,自动生成的巨量信息会急剧消耗掉硬盘宝贵空间资源。所以,Windows系统在缺省状态下只会有针对性地记忆保存系统中一些十分重要的事件,比方说系统登录操作、注销操作,应用程序启动运行时载入相关连接库失败操作等等;既然如此,如何才能让Windows系统日志自动追踪、记忆文件删除操作事件呢?要做到这一点,需要启用Windows系统的对象审核功能,并对该功能进行合理的设置,下面本文就以Windows 7系统环境为例,向大家介绍一下这方面的具体设置步骤:
对文件删除操作设置审核权限
Windows 7系统无法追踪记录普通分区格式中的文件删除事件,只能对NTFS格式分区中的内容进行记忆,因此在启用文件删除操作的审核权限之前,先要查看待追踪的磁盘分区是否是NTFS格式;在进行这种查看操作时,用鼠标右键单击目标磁盘分区,从弹出的快捷莱单中执行“属性”命令,弹出如图1所示的属性对话框,在常规标签页面中,就能清楚地查看到目标磁盘分区究竟是什么格式了。要是目标磁盘分区格式不对时,可以依次单击系统桌面中的“开始”|“运行”命令,在弹出的系统运行对话框中,输入“cmd”命令,单击回车键后,切换到DOS命令行工作窗口,在命令提示符中执行“convert X:/fs:ntfs”命令(“X”为目标磁盘分区符号),这样就能对目标分区进行无损格式转换操作了。
在确认目标磁盘分区格式符合要求后,用鼠标右键单击该分区图标,执行右键菜单中的“属性”命令,切换到该分区的属性对话框中,选择“安全”标签,在对应标签设置页面中的右下方点击“高级”按钮,打开高级安全设置对话框,选择这里的“审核”标签,继续单击该标签页面中的“编辑”按钮,在其后界面中再单击“添加”按钮,弹出选择用户或组对话框(如图2所示);单击这里的“高级”选项,同时按“立即查找”按钮,随后我们就能看到本地系统中的所有用户和组名称了,选中“Everyone”账号名称,并用鼠标双击该账号,目标用户账号就被成功导入进来,按“确定”按钮切换到“Everyone”账号的审核项目列表中;
从访问列表中,找到“删除子文件夹及文件”审核项,同时将对应项目的“成功”、“失败”都选中(如图3所示),再单击“确定”按钮保存设置,这样普通用户以“Everyone”账号删除本地系统中的文件夹或文件是,无论操作有没有成功,Windows 7系统的日志功能都会对它们的痕迹进行追踪、记忆。
对对象访问策略启用审核功能
上面的设置虽然解决了Windows 7系统可以追踪文件删除痕迹,但是还无法保证系统能自动追踪、记忆这方面的事件,要实现自动追踪、记忆目的,还需要对Windows 7系统的对象访问策略启用审核功能,下面就是具体的启用步骤:
首先依次单击Windows 7系统桌面中的“开始”|“运行”命令,切换到系统运行对话框中,输入字符串命令“gpedit.msc”,按回车键后,弹出系统组策略编辑界面;
其次从该编辑界面的左侧列表区域,逐一展开“计算机配置”|“windows设置”|“安全设置”|“本地策略”|“审核策略”分支,在目标分支下面找到“审核对象访问”选项,用鼠标双击该选项,打开如图4所示的选项设置界面;
在本地安全设置标签页面中,我们发现系统默认没有启用审核对象访问功能,此时可以将“成功”、“失败”选项选中,再按“确定”按钮保存设置即可。
定期追踪文件被删痕迹
完成上面的各项设置任务后,Win7系统现在就能准确追踪系统被删文件痕迹了,只要目标磁盘分区中有文件或文件夹被普通用户删除掉,哪怕删除操作没有成功,我们都能从系统的相关日志中找到被删文件的痕迹,包括被删除文件的名称是什么,删除操作是什么时候进行的,而且还能清楚地查看到究竟是谁偷偷删除了文件。在查看被删文件的具体信息时,可以按照如下步骤来进行:
首先用鼠标右键单击系统桌面中的“计算机”图标,从弹出的右键菜单中点选“管理”命令,切换到对应系统的计算机管理窗口,在该管理窗口的左侧列表区域中,逐一展开“系统工具”|“事件查看器”|“Windows日志”|“安全”分支,在对应分支下面我们会看到各种安全审核记录,这当中也包括被删文件的审核记录,用鼠标双击某个记录选项,从其后界面中就能看到具体文件的删除信息了。
为了验证系统能否自动追踪文件被删痕迹,笔者特地在刚才启用了审核功能的目标磁盘分区中,人为删除了一个测试文件来进行试验;文件删除操作成功后,立即切换到计算机管理窗口,打开系统安全日志,看到事件列表中有一条“信息2011-10-29 10:46:07安全审核”之类的记录,如图5所示;用鼠标双击该事件记录,从其后弹出的事件属性对话框中,笔者看到这里非常直观地将被删除文件的路径显示了出来,同时还能看到具体的文件名称、被删文件的类型、文件被删除的时间等等,通过这些信息我们就能判断文件删除操作究竟是有意的还是无意的,究竟会不会对系统的安全带来威胁。
及时报警文件被删事件
对于一些恶意的文件被删事件,如果我们能够及时发现,并采取相关安全措施防范,可以确保安全威胁降低到最小限度。Windows 7系统为了帮助用户及时发现恶意事件,特地新增加了附加任务到事件功能,利用该功能可以强制系统在追踪到文件被删事件时,立即发出一些明显的警报信息,例如可以播放报警音乐,或者通过发送电子邮件,或者启动运行特殊的报警程序等等,用户一旦看到指定的报警信息,就能知道系统中有文件被删除了。例如,希望系统通过播放报警音乐,来提醒用户文件被删事件发生时,可以按照如下步骤设置Windows 7系统的附加任务到事件功能:
首先打开系统计算机管理窗口,展开其中的“系统工具”|“事件查看器”|“Windows日志”|“安全”分支,从该分支下找到刚才生成的“信息2011-10-2910:46:07安全审核”事件记录,用鼠标右击该事件选项,点选右键菜单中的“将任务附加到此事件”命令,打开附加任务向导对话框;
其次将附加的任务名称取为“文件被删时自动报警”,当系统屏幕上出现如图6所示的设置对话框时,选中“Start a program”选项,单击“next”按钮;单击“Browse”按钮,从弹出的文件选择对话框中,将保存在本地系统中的报警音乐文件选择并导入进来,再按“finish”按钮完成设置操作,这样一来用户日后听到报警音乐时,就能在第一时间知道文件被删事件发生了。