這是個要求精確的技術：確定文件或文件夾最后被訪問的時間。 


在Christopher Brookmyre的小說中有個故事講到，所有人都沉浸在歡樂和游戲中，直到一天有個人失去了一只眼睛，一個會黑客技術的人物打開了一臺計算機，然后檢查boot日志來看看計算機上次運行是什么時候以及運行了多長時間。 


然后，她檢查了訪問目錄，以便知道上次哪些文件夾被人打開過。這樣的情節到底是小說中編造的呢，還是確實存在呢？ 


該書是在2005年出版的，因此我們假設這臺計算機的操作系統是XP。第一部分很簡單，不過你應該看的不是boot日志而是系統事件日志。 


啟動事件閱讀器，你可以在控制面板或者開始菜單的管理工具中找到它，然后點擊左邊窗口中的系統。調整窗口的大小，以便你看到右邊窗口的事件欄。 


尋找一個6009的條目――它顯示PC什么時候關閉或者重啟的。有數個事件會記錄開機操作，代碼是7035，7036和26，還跟很多服務和核對有關。 


右鍵點擊一個事件然后選擇屬性，它會顯示一個簡短的說明，你可以通過點擊事件屬性框中的鏈接來看到更詳細的說明。 


薛定諤的文件？ 


確定文件或文件夾什么時候最后被訪問更加困難。Windows系統中的每一個文件和文件夾――NTFS格式和FAT格式的文件系統都一樣――有三個關聯日期。修改的日期是你在Explorer的默認設置下或者Dos情況下輸入“dir”后能看到的。這顯示了文件最后保存的日期和時間。 


如果你打開一個文件然后保存――即使沒有修改――你也將發現這些變化。創建日期是文件在硬盤上當前位置被創建時的日期。因此如果你創建了一個新的文件，在時間顯示為1月1日的應用程序上保存它，然后把它復制到時間為1月2日的文件夾，那么復制文檔的創建日期會是1月2日，但修改日期是1月1日。 


一些文件，比如Jpeg圖片或者微軟Word文檔，在高級選項模式下會保存原始創建日期，但是這個是存儲在文件本身當中而不是文件系統里。轉移，而不是復制的話，通常文件保存的都是創建日期。 


如果你不喜歡某些東西在創建前被修改這種概念，那么你會更不喜歡訪問日期的概念。如果你右鍵點擊文件然后選擇屬性，你可以看到文件的全部三個日期。 


但是，右鍵點擊這樣的操作也會被算作訪問文件，因此上次訪問的日期會變為當前的日期和時間。察看文件的屬性，就是你修改了它們――似乎系統的設計者是受了量子物理的啟發。 


如果你的系統是Windows ME,2000或者XP，那么你可以在Explorer的詳細察看中會看到全部的三個日期。在ME或者2000中，點擊察看菜單，然后‘選擇欄目’（XP中是察看，選擇詳細信息）。勾上創建日期和訪問日期的選擇框，你就可以看到文件和文件夾額外的欄目。 


你也可以在Dos命令下察看訪問日期。在XP中，輸入dir/ta，會顯示最后訪問日期―/tc和/tw則會顯示創建和最后修改的日期。老版本的Dos上，句法略有不同。 


/oa 和/od會分別列出文件的訪問和修改日期，但是這有一定局限性。與選擇順序無關，兩種情況下你看到的日期都是修改日期。要想兩個都能看到，可以使用/v（verbose）切換也可以用分類順序轉換。 


說了這么多，就是說察看最后訪問日期是不大可行的。例如，在Windows ME中，打開文件夾并不改變最后訪問日期。XP系統中，打開文件夾確實改變最后訪問時間――但不是立刻改變。 


更糟糕的是，還有太多其它的東西，比如Windows 桌面搜索索引以及其他服務，也會改變最后訪問日期，因此你不可能分清到底文件夾最后是被用戶打開的還是操作系統常規訪問到的。 


引入監聽裝置 


另有其他的辦法幫助Brookmyre擺脫XP困境，但是那種方法需要很大的勇氣。你可以設置監聽裝置紀錄對各種各樣對象――比如文件，文件夾，打印機以及注冊鍵值――的訪問。 


首先你得以管理員的身份登陸，而后如果你明智的話，創建系統還原點（參見最后一段）。下一步，你要關閉文件共享的功能。XP家庭版用戶不得不停在這一步了，因為沒有這樣的選項可用，但是XP Pro用戶可以通過Explorer的工具，文件選項，察看來完成這一步。 



現在你得設置監聽器。首先，運行gpedit.msc來打開組策略編輯器。左邊窗口中按計算機配置\Windows設置\ 安全設置\本地策略\審核策略的路徑一路向下。 


然后你會看到，在右邊窗口中顯示出可以監聽的動作的列表――默認情況下，這些都是不被監聽的。雙擊審核對象訪問然后選中屬性框中的‘成功’選項。點擊OK退出。 


下一步就是設置那些你要監聽的對象。跟小說中情節一樣，轉到你想要記錄的文件夾。右鍵點擊，選擇屬性，然后轉到安全選項卡，選擇“高級”。在高級安全設置對話框中，選中監聽選項卡。點擊添加……按鈕。 


為了盡可能簡化操作，在‘輸入要選擇的對象的名稱’框中輸入“everyone”(不包括引號)。點擊檢查名稱按鈕來確保你指定了正確的對象名稱，然后點擊OK。這樣就會開啟監聽功能。 


選擇你要監聽的方面――比如‘列出文件夾/讀取數據’，然后選擇‘應用于’選項：如果你使監聽日志整齊點兒，就選擇‘只對這個文件夾’或者‘該文件夾及其子文件夾’。點擊OK來退出打開的對話框。 


現在運行事件閱讀器，就像之前講的那樣，然后打開安全分支。每次你指定的文件夾被打開你就會在這里看到很多條目，列出時間，用戶和其他信息。如果雙擊一個條目，你就會獲得更進一步的信息，尤其是那個‘映射文件名稱’它會告訴你什么程序訪問了文件夾。 


如果你或者其他用戶打開了該文件夾，此項會顯示Explorer.exe。但如果是其他進程訪問了該文件夾，你會看到不同的可執行文件，比如WindowsSearchFilter.exe表示桌面搜索器訪問了該文件。 


消失的選項卡 


我給你講個有趣的事情。一位讀者受托幫同事解決如下的一個麻煩。后者的屏幕保護裝置在計算機30秒沒有活動后就會運行。更氣人的是，當他察看顯示屬性時，那里竟沒有屏幕保護選項卡。 


XP Pro中，可以在組策略編輯器中矯正該問題。運行gpedit.msc，然后打開用戶配置， 管理模板， 控制面板， 顯示分支，你就會在右邊的窗口中看到一個‘隱藏屏幕保護選項卡’的設置。雙擊它，關閉或者‘不設置’就會把選項卡重新找回來。 


還有其他的你可以應用的屏保限制――點擊低一點的那個擴展選項就可以看到每一項的說明。盡管XP家庭版沒有組策略編輯器，但是兩個版本都在注冊表中保存了這些限制。 


因此，XP家庭版中，以管理員的身份登陸后創建還原點，然后按照_Current_User\Software\ Microsoft\Windows \CurrentVersion \Policies\System 的路徑，在右邊窗口中查找叫做NoDispScrSavPage的條目。雙擊它然后把它的值設為0：這樣就可以找回消失的選項卡。 


恢復點 


我們總是強調創建恢復點的重要性。在標準的XP系統中，從開始菜單點下去，只用5步就可以運行系統恢復。 


盡管可以通過%SystemRoot%\System32\restore\rstrui.exe來快速訪問，但我們還是建議使用Doug Knox’s SysRestorePoint.exe。雙擊這個小（20kb）應用，它就會簡單地創建系統恢復點。 


這個點將被稱為自動恢復點――這將它跟Windows創建的叫做系統還原點區分開來。你可以到www.dougknox.com上找到使用方法。