Как найти переименованный файл

Обновлено: 21.11.2024

Общий запрос совета. Если вы случайно переименуете файл (или ваш маленький ребенок), возясь с компьютером, и не заметите этого (слишком поздно, чтобы отменить), как вы найдете файл?

Мне интересно, есть ли какая-то защита, которую я не заметил, или хорошая проверка для переименования.

Я думал об этом много раз, но ни разу не сталкивался с упоминанием об этом.

8-ядерный Mac Pro 2,8 ГГц от Quicksilver Dual G4/1Ghz!, Mac OS X (10.4.6)

Опубликовано 27 ноября 2013 г., 12:03

Все ответы

Загрузка содержимого страницы

Содержимое страницы загружено

Если вы знаете, когда это могло произойти, перейдите в Finder, нажмите command-F и найдите файлы, которые были изменены в этот день. Для поиска доступно множество параметров. Выберите «Другое» в списке слева, чтобы просмотреть полный список.

27 ноября 2013 г., 12:13

Спасибо, Таттл. Я говорю о файлах без доступных для поиска метаданных. старые изображения квитанций или файлы, которые вы хранили годами и были переименованы кем-то неизвестным образом. Должна быть предусмотрена двойная проверка или защита, чтобы файлы нельзя было просто переименовать в ".jpg" или .tiff

27 ноября 2013 г., 12:28

Как правило, при изменении расширения файла появляется предупреждение, поэтому сделать это непросто.

27 ноября 2013 г., 12:48

Tuttle, можно ли переименовывать файлы и папки, если вы вошли в учетную запись пользователя без прав администратора?

27 ноября 2013 г., 12:52

Чтобы пользователи могли назвать любой файл, которым они владеют, как угодно.


21:34 среда; 27 ноября 2013 г.

 iMac 2.5Ghz 5i 2011 (Mavericks 10.9)
 G4/1GhzDual MDD (Leopard 10.5.8)
 MacBookPro 2Gb (Snow Leopard 10.6.8)
 Mac OS X (10.6.8),
 Пара iPhone и iPad

27 ноября 2013 г., 13:34

Спасибо, Ральф, но они не могут переименовать тех, кто им не принадлежит? Поэтому было бы целесообразно сообщить ОП, что

(или ваш маленький ребенок)

возможно, этому маленькому ребенку будет лучше использовать отдельную учетную запись пользователя и не работать в учетной записи администратора OP?

27 ноября 2013 г., 13:38

Это один из способов предотвратить это, если дети маленькие.

Однако, если маленькие кошки, например, просто появляются на клавиатуре, когда вы на законных основаниях находитесь в своей собственной учетной записи, то ничего нельзя сделать.

Главная проблема заключается в том, чтобы разработать метод поиска, который мог бы выдать одну или две картинки (если хотите, в качестве стартового)

1) что использовалось для их переименования

В iPhoto есть папка «Оригиналы»

Перейдите в ~/Library/Pictures и щелкните правой кнопкой мыши iPhoto Library.

2) Если это было сделано в Finder, элементы изменения имени находятся в той же папке, в которой они были изначально?

3) другие приложения и функция "Сохранить как" или функция сохранения могут не указывать на то же место, куда были помещены элементы, если прошло значительное количество времени.

4) Если эти файлы/изображения когда-либо подвергались резервному копированию с помощью Time Machine, и вы знаете, где они должны быть, возможно, вы сможете найти их таким образом.

5) Моя текущая учетная запись пользователя Mac на моем iMac имеет предыдущий клон Mountain Lion, который вернет меня к выпуску Mavericks.

5a) До установки Mountain Lion у меня был Lion, и учетные записи были перенесены с моего компьютера G4

Некоторые вещи, такие как iPhoto, "разделены" с того времени. Как и iTunes в некоторой степени с новыми покупками.

G4 работает под управлением Leopard и может вернуться к еще более ранней (файловой) версии Tiger (OS X 10.3.9)

6) Если временная задержка не так уж и устарела, также могут помочь последние элементы каждого приложения.

У меня установлено 20 элементов (Системные настройки > Общие настройки — это не увеличит текущий список — он увеличивается со временем/использованием)


22:02 среда; 27 ноября 2013 г.

 iMac 2.5Ghz 5i 2011 (Mavericks 10.9)
 G4/1GhzDual MDD (Leopard 10.5.8)
 MacBookPro 2Gb (Snow Leopard 10.6.8)
 Mac OS X (10.6.8),
 Пара iPhone и iPad

Вы можете просматривать резервные копии данных за две недели на общих дисках вашего отдела (R:) или факультета (S:) и восстанавливать старые или удаленные версии этих данных. Это не относится к локальным дискам компьютера, таким как диск C:.

Следующий часто задаваемый вопрос взят из справки и поддержки Windows.

Предыдущие версии — это либо копии файлов и папок, созданные программой архивации Windows, либо копии файлов и папок, которые Windows автоматически сохраняет как часть точки восстановления. Вы можете использовать предыдущие версии для восстановления файлов и папок, которые вы случайно изменили или удалили, или которые были повреждены. В зависимости от типа файла или папки вы можете открыть, сохранить в другом месте или восстановить предыдущую версию.

Щелкните файл или папку правой кнопкой мыши и выберите Восстановить предыдущие версии .

Вы увидите список доступных предыдущих версий файла или папки.В список будут включены файлы, сохраненные в резервной копии (если вы используете архивацию Windows для резервного копирования файлов), а также точки восстановления.

Чтобы восстановить предыдущую версию файла или папки, включенных в библиотеку, щелкните правой кнопкой мыши файл или папку в том месте, где они сохранены, а не в библиотеке. Например, чтобы восстановить предыдущую версию изображения, включенного в библиотеку изображений, но хранящегося в папке «Мои изображения», щелкните правой кнопкой мыши папку «Мои изображения» и выберите «Восстановить предыдущие версии» .

Прежде чем восстанавливать предыдущую версию файла или папки, выберите предыдущую версию и нажмите «Открыть», чтобы просмотреть ее и убедиться, что это именно та версия, которая вам нужна.

Вы не можете открывать или копировать предыдущие версии файлов, созданных с помощью службы архивации Windows, но можете восстановить их.

Чтобы восстановить предыдущую версию, выберите предыдущую версию и нажмите "Восстановить" .

Предупреждение

Файл или папка заменит текущую версию на вашем компьютере, и замену нельзя будет отменить.

Если кнопка «Восстановить» недоступна, вы не сможете восстановить предыдущую версию файла или папки в исходное местоположение. Однако вы можете открыть его или сохранить в другом месте.

Если вы случайно удалили или переименовали файл или папку, вы можете восстановить предыдущую версию этого файла или папки, но вам нужно знать место, где файл или папка были сохранены. Чтобы восстановить файл или папку, которые были удалены или переименованы, выполните следующие действия:

  1. Нажмите значок "Компьютер" на рабочем столе, чтобы открыть его.
  2. Перейдите к папке, которая раньше содержала файл или папку, щелкните ее правой кнопкой мыши и выберите Восстановить предыдущие версии .

Если папка находилась на верхнем уровне диска, например R:\, щелкните диск правой кнопкой мыши и выберите Восстановить предыдущие версии .

Дважды щелкните предыдущую версию папки, содержащей файл или папку, которые вы хотите восстановить. (Например, если файл был удален сегодня, выберите вчерашнюю версию папки, содержащую этот файл.)

Перетащите файл или папку, которые вы хотите восстановить, в другое место, например на рабочий стол или в другую папку.

Версия файла или папки сохраняется в выбранном вами месте.

Если вы не помните точное имя файла или папки или их местоположение, вы можете найти его, введя часть имени в поле поиска в папке «Компьютер».

Мне интересно, можно ли найти предыдущее имя файла после его переименования или даже узнать, был ли файл переименован изначально.

Я нашел один из своих старых USB-накопителей, на котором могут быть полезные файлы для проекта, над которым я сейчас работаю, но текущие имена файлов не слишком информативны. Я хотел бы знать, переименовывал ли я файлы в какой-то момент, и если да, то каковы были исходные имена.

В Windows нет никакой "Истории" файловой системы, если вы это имеете в виду - единственный способ добиться этого - это резервное копирование :(

1 Ответ 1

Файловые системы Windows по умолчанию не отслеживают такие изменения. Некоторые типы файлов имеют для этого внутренние поля. Возможно, посмотрите на атрибуты файла (правый клик => Свойства => Подробности) и посмотрите на них. В противном случае вам придется настраивать теневые копии или использовать сторонние программы, которые могут в этом помочь. Если вы щелкнете папку и проверите ее свойства, вы увидите вкладку, которая называется «Предыдущие версии», теоретически вы можете настроить ее, но обычно это не очень хорошая идея для портативных устройств хранения. Он будет хранить определенный объем истории для каталога/файла.

Здравствуйте, Сет, знаете ли вы о каких-либо сторонних программах, которые могут помочь в этом? Я просмотрел варианты «предыдущие версии», и, похоже, в списке нет предыдущих версий. Означает ли это, что файл на самом деле не был переименован в какой-либо момент, и поэтому использование стороннего варианта было бы пустой тратой времени?

Это означает, что вы не настроили механизм для его работы. Это требует дополнительного места на диске, так как предыдущие версии сохраняются и так далее. Нажмите «Как использовать предыдущие версии?» ссылка в диалоге. Это не поможет вам с вашей текущей проблемой. Если вы работаете над проектом, рассмотрите возможность использования чего-то вроде GIT или Subversion для отслеживания изменений (включая переименования). В противном случае регулярные резервные копии, с которыми вы можете сравнить, были бы вещью. Для этого существует множество решений.

У меня есть несколько сотен тысяч файлов, личных вещей, таких как фотографии, видео и документы, собранные и сохраненные за годы. Большинство из них организованы по типам, датам и темам. Но некоторые (например, файлы размером 10 КБ) не организованы и перемещались из каталога в каталог и несколько раз переименовывались около 2 лет назад. Я ищу (путь) некоторые из этих файлов (надеясь, что не удалил их случайно).

Сохраняются ли переименования файлов в каком-либо журнале или метаданных?

Есть ли способ поиска старых файлов по их имени до переименования? Если да, то какую команду или инструмент использовать?

Я знаю тип файла, приблизительный размер и некоторые возможные имена, но с помощью команды find ничего не нашел.

  1. Есть ли способ найти на жестком диске (SSD) (вероятно) удаленные файлы по определенному пути, не перестраивая таблицу расположения файлов всего раздела (на это может уйти вечность!?)?

2 ответа 2

  1. Сохраняются ли переименования файлов в каком-либо журнале или метаданных?

На практике нет. Имена файлов представляют собой одну запись в файловой системе. В Linux имя файла указывает на индексный дескриптор, который является реальным уникальным идентификатором файла. Таким образом, один файл может существовать в нескольких местах в файловой системе Linux. Если вы переименуете файл, новое имя заменит старое в файловой системе.

Это упрощение: современные файловые системы сложны. Например, у них обычно также есть журнал, где временно может быть сохранено старое имя. Это, однако, имеет временную шкалу всего в несколько минут, а не в два года.

  1. Есть ли способ поиска старых файлов по их имени до переименования? Если да, какую команду или инструмент использовать?

Из-за 1, нет. Переименованное имя файла перезаписывается.

  1. Есть ли способ найти на жестком диске (SSD) (вероятно) удаленные файлы по определенному пути, не перестраивая таблицу расположения файлов всего раздела (на это может уйти вечность!?)?

Теперь вы находитесь в области восстановления данных. Восстановление данных довольно сложно в современной файловой системе Linux из-за того, как они работают. Существует инструмент photorec (и сопутствующий ему инструмент testdisk), который позволяет в некоторой степени восстановить удаленный файл — photorec, однако, не будет работать на основе имен файлов, а будет вырезать цифровые данные, восстанавливая блоки, когда он распознает цифровые данные, которые напоминают известные формат файла.

Перемещение и особенно удаление данных в практических целях следует рассматривать как необратимый процесс. Единственной мерой предосторожности против нежелательных или ошибочных операций с файлами является создание резервной копии, в вашем случае желательно с контролем версий (т. е. сохранение очень старой версии).

photorec великолепен, но даже не дает вам текущее имя файла, потому что он работает на слишком низком уровне для этого

Как говорит @vanadium, невозможно сделать именно то, что вы хотите.

Единственное, что, по моему мнению, отдаленно близко к этому, было бы, если бы у вас была старая копия (некоторых) файла(ов). Затем вы можете выполнить rsync из каталога этого файла с остальной частью вашей системы, указав --fuzzy --fuzzy (дважды) и --dry-run, чтобы заставить rsync искать тот же файл, который может иметь другое имя в другой каталог и просто сказать вам, что он собирался сделать, ничего не записывая в вашу текущую систему.

Если файл не является двоичным (например, текст или документ), вы можете использовать такой инструмент, как recoll, для индексации и поиска в вашей текущей системе. Он легко выполняет простой поиск, но также имеет расширенные запросы для более точного поиска. Это занимает некоторое время и создает умеренно большую базу данных при первом запуске. Он имеет тип целевого файла "media", но я никогда не пытался использовать его явно.

grep также будет искать для вас определенный контент в небинарных файлах, но он будет искать все по указанному вами пути каждый раз, поэтому, если вы ищете много вещей, то пусть recoll build and search индекс может быть полезным - и это может быть удобно в будущем для других поисков. Я не использую его очень часто, но когда я это делаю, это спасает мне жизнь.

Я работаю техником в школе. У нас есть учащиеся, которые переименовывают файлы и папки, используя ненормативную лексику на общем диске учащихся. Я убедил наш районный офис разрешить аудит этого диска. Сейчас я просматриваю журналы безопасности, когда кто-то снова нанес удар по нашему бандиту-ненормативной лексике, но мне трудно понять, как определить, кто на самом деле переименовал файл/папку, а кто просто дважды щелкнул по нему, чтобы получить к нему доступ. На самом деле он не указывает никаких подробностей, кроме общего «Объект сетевого ресурса был проверен, чтобы увидеть, может ли клиент получить желаемый доступ». Я также пытался изучить значения значений маски доступа, но зашел в тупик. Будем признательны за любую помощь.

Угрозы кибербезопасности и потребность в надежном резервном копировании

2022-03-29 18:00:00 UTC Вебинар Вебинар: Spanning — угрозы кибербезопасности и потребность в надежном резервном копировании Сведения о событии Просмотреть все события

22 ответа

Вы видели такой инструмент, как Netwrix?

Сторонние инструменты не подходят. Как уже упоминалось, у нас уже включен аудит. Мне просто нужна помощь в расшифровке журналов, чтобы я мог точно определить, какие учащиеся на самом деле переименовали папки, а какие просто дважды щелкнули по ним. Оба оставляют записи в журнале безопасности, и я не знаю, как определить, что есть что. Я просто не хочу навлекать неприятности не на тех детей.

О. и забыл упомянуть, что это Server 2008 R2 Enterprise.

ДжитэнШ

используйте этот аудит системы управления, а также бесплатные удобные для чтения журналы

Опять же, установка сторонних инструментов на сервер невозможна.

Большой зеленый человек

На самом деле я не думаю, что вы сможете отличить переименование от других попыток доступа, используя встроенный аудит файлов Windows.

Правило драконов

Майкл (Netwrix). Вы не знаете, покажет ли эта информация встроенный аудит?

Рупеш (Лепид)

Представитель бренда Lepide

Видья (Зохо)

Представитель бренда ManageEngine

Спасибо за упоминание, JitenSh! TechWorx с радостью поможет, если вы захотите попробовать ManageEngine ADAudit Plus.

Представитель бренда Netwrix

В логах нет отдельного события для операции переименования, это набор событий. На самом деле вам не нужно устанавливать стороннее программное обеспечение на файловый сервер dc/.

Разверните Netwrix Auditor для файловых серверов Windows (бесплатная 20-дневная пробная версия) на своем рабочем столе и собирайте журналы из FS. После этого просто используйте отчет и получите то, что вам нужно.

Хорошо. Спасибо вам всем за ответы. Майкл, сейчас я устанавливаю Netwrix на свой рабочий стол. Я отпишусь, если у меня возникнут какие-либо проблемы.

Однако, к сожалению, эти серверные ОС могут похвастаться всеми этими функциями и создать впечатление, что они очень просты в использовании. однако они не упоминают, что вам нужна докторская степень в области криптографии, чтобы попытаться расшифровать журналы.

Правило драконов

TechWorx написал:

и создать впечатление, что им так просто пользоваться.

Не знаю, откуда у вас такое впечатление. Я никогда не слышал, чтобы кто-нибудь утверждал, что Windows Server прост в использовании. Я имею в виду, что некоторые из основ просты, конечно. Но как только вы выходите за рамки этого? Не так много. Вот почему существует так много классов и сертификатов для этих вещей.

Допускаю, что моя формулировка могла бы быть лучше относительно того, что вы мне цитировали. но я просто имел в виду, что даже для ИТ-специалистов или людей, которые хорошо разбираются в серверных ОС, почти невозможно расшифровать большинство журналов в средстве просмотра событий без использования какого-либо стороннего программного обеспечения или большого количества Google, чтобы преобразовать идентификаторы событий во что-нибудь понятное.

Правило драконов

Коды ошибок всегда были эзотерическими. Я согласен, что было бы здорово, если бы MS включила какой-то список, показывающий, что они на самом деле имели в виду. Не в журнале, потому что нам нужно, чтобы он был небольшим, а где-то. Даже простой текстовый файл был бы лучше того ничего, что у нас есть сейчас.

Крис (IS Decisions)

Представитель бренда по решениям в области информационных технологий

Безагентный, удаленный и ненавязчивый; FileAudit предлагает простой, но надежный инструмент для мониторинга, аудита и оповещения о доступе (и попытках доступа) к файлам, папкам и общим файловым ресурсам, которые находятся в системах Windows

Хорошо. Итак, у меня есть Netwrix, работающий с модулем файлового сервера. Я вижу многочисленные отчеты, КРОМЕ «Файлы и папки переименованы». ржу не могу. Иди разберись. Когда я пытаюсь вызвать этот отчет, он говорит:

Файлы и папки переименованы – Средство просмотра отчетов

Данные аудита для ваших управляемых объектов еще не собраны. В Консоли администратора Netwrix Auditor запустите первоначальный сбор данных. После внесения некоторых изменений дождитесь следующего запуска по расписанию или инициируйте сбор данных по требованию.

Отображает ли этот конкретный отчет только те переименования файлов/папок, которые были выполнены ПОСЛЕ установки Netwrix? Потому что файлы журналов безопасности находятся на нашем сервере еще до установки Netwrix.

Представитель бренда Netwrix

К сожалению, Netwrix Auditor не может показать вам события до его установки, он покажет вам переименования файлов после этого.

Разница в том, что событие "Переименовать" регистрируется как два идентификатора события 4663, следующие один за другим: первый с доступом "УДАЛИТЬ", а второй –

Действие Modify имеет только "WriteData (или AddFile)" в идентификаторе события 4663, но без идентификатора события DELETE 4663 рядом с ним.

Аххх. OK. Хорошо знать. Я пошел дальше и переименовал / очистил каталог, в котором находилась вся ненормативная лексика. Надеюсь, ответственные учащиеся сделают это снова до окончания пробного периода, чтобы я мог увидеть отчет.

Представитель бренда Netwrix

Просто напишите мне, если вам нужно продлить пробный период.

Хорошо. Таким образом, студент(ы) снова нанесли удар и изменили названия двух папок. На этот раз я смог просмотреть отчет, и он показал мне имя одной из измененных папок, но не показал другую. Я вручную просматриваю журналы событий на сервере, чтобы увидеть, смогу ли я найти шаблон, который вы описали выше, поскольку он относится к новому имени папки.

Есть идеи, почему он не указал его в отчете?

скадогг

Я знаю, что это старый пост, но я просто должен знать. Как это оказалось? Вы поймали Бандита Ненормативной лексики?

Да, мы это сделали. Мы использовали продукт Netwrix, упомянутый в этой ветке, чтобы создать потрясающий отчет для родителей. Студент был отстранен на 2 дня (кажется). И с тех пор больше не было инцидентов (постучите по дереву).

Мне понравился этот продукт, и я передал его некоторым людям, стоящим выше по пищевой цепочке, но ничего о нем не слышал.

Эта тема заблокирована администратором и больше не открыта для комментариев.

Чтобы продолжить это обсуждение, задайте новый вопрос.

Искра! Серия Pro — 28 марта 2022 г.

Прекрасный понедельник! С возвращением на работу и с возвращением в Spark! Я надеюсь, что ваш день превратится во все, что может быть! В любом случае, сделайте селфи и опубликуйте его ниже. Просто напоминание, если вы читаете.

Странные маршруты в таблице маршрутизации

Привет, ребята! Итак, у меня есть вопрос относительно некоторых действительно странных маршрутов в моей таблице маршрутизации. Недавно я перевел свой маршрутизатор Huawei B818 4G в режим моста за pfSense, который теперь является моим основным маршрутизатором. При этом я замечаю эти статические записи, которые появляются и.

Сколько ИБП у вас дома?

Я просто осматривал аккумуляторы (на предмет вздутия и уменьшения времени автономной работы) и решил, что пришло время спросить: Сколько у вас дома? Я запускаю (все APC, потому что это просто «случилось»), лол): 1500 ВА в подвале 2. - разместить стойку Chatsworth 650 в моем домашнем офисе 600 в офисе жены.

Что бы вы сделали?

Итак, я работаю в MSP, который работает круглосуточно и без выходных. Старший инженер в нежелательную смену с 23:00 до 8:00 уходит. Теперь у меня есть возможность перейти на эту должность, насколько больше это потребует компенсации в процентах от того, что я зарабатываю сейчас? и я скажу это.

Очень необычный спам. Ответить на темы + ссылка OneDrive + файл PWD

Поэтому я недавно заметил резкое увеличение входящего спама и заметил очень необычный новый спам. Он имеет несколько очень специфических характеристик, которые отличают его от обычных спам-сообщений: 1 – он содержит настоящие цепочки ответов по электронной почте2 – он содержит настоящие имена.

Читайте также: