По умолчанию все удаляемые в Windows файлы перемещаются в Корзину, откуда их можно затем восстановить. Воспользовавшись же средствами поиска можно отыскивать в Корзине файлы, отвечающие заданным параметрам, а значит частично отслеживать сами факты удаления. Больше в этом отношении Корзина предложить ничего не может, но не Deletion Extension Monitor — специальная утилита, предназначенная для мониторинга операций по удалению файлов.
Будучи запущенным, этот простой инструмент фиксирует операции по удалению файлов с заданными расширениями как с системного, так и с пользовательского разделов, формируя в главном окне список удаленных объектов. При этом Deletion Extension Monitor указывает полный путь к файлу, его размер, дату и время удаления, расширение, а также задействованный процесс. В число регистрируемых объектов входят также файлы уже перемещены в Корзину, то есть если вы удалите файл в Корзину, а затем почистите ее, то программа зарегистрируют оба эти действия.
Использование Deletion Extension Monitor не представляет какой-либо сложности. Мониторинг ведется в автоматическом режиме, единственное, что вам нужно сделать, это отредактировать список учитываемых при мониторинге расширений. Некоторые файлы, например, с расширением TMP удаляются из системы очень часто, и чтобы не забивать журнал лишними записями, рекомендуем убрать из списка ненужные расширения. И наоборот, другие форматы можно добавить, выбрав в меню Monitoring -> File Excision. Запускать утилиту желательно с правами администратора, дабы она могла получить доступ как можно к большему числу каталогов на системном диске.
Среди прочих функций утилиты доступны переход в папку с логами, сортировка по пятью критериям (время, путь, размер, расширение и процесс), очистка списка и копирование записей в буфер. Настройки ограничиваются изменением папки для сохранения логов и добавлением в автозапуск Windows. Из особенностей — Deletion Extension Monitor отслеживает удаление файлов, выполненное пользователями и некоторыми приложениями, например, деинсталляторами и встроенной утилитой очистки диска.
А вот удаления в командной строке никак не регистрируются, не будут также зафиксированы удаления, выполненные другими пользователями, вошедшими в систему.
Сценарий, при котором файл удаляется сторонней программой, безопасной или вредоносной, мы не тестировали, но как нам кажется, вероятность, что Deletion Extension Monitor «засечет» такое удаление, невелика.
Желающие проверить могут сделать это сами.
Утилита бесплатна, скачать ее можно с сайта разработчика www.novirusthanks.org/products/deletion-extension-monitor.
Добавить комментарий