追蹤系統被刪文件痕跡

在公共場合下，保存在計算機系統中的重要數據文件，隨時都有可能被有意、無意地刪除掉，造成這種現象的原因主要表現在兩個方面，一是用戶在操作計算機系統的時候由于粗心大意，不小心刪除了文件，二是不少狡猾的病毒、木馬程序為了達到破壞或攻擊目的，可能會悄悄地刪除系統中的重要數據文件。那么，如何才能準確知道自己的哪些數據文件已經被刪除了呢?究竟是誰偷偷刪除了我們的數據文件呢?

強制系統記憶被刪痕跡

默認狀態下，Windows系統不會自動記憶被有意或無意刪除的各類文件，要想記憶它們的刪除痕跡，一定要依賴Windows系統的日志功能。日志文件作為自動記憶系統工作狀態的特殊文件，善于利于該文件，就能對文件刪除操作進行跟蹤記憶了；但是，系統日志功能默認不會跟蹤記憶系統的所有運行狀態，不然的話，自動生成的巨量信息會急劇消耗掉硬盤寶貴空間資源。所以，Windows系統在缺省狀態下只會有針對性地記憶保存系統中一些十分重要的事件，比方說系統登錄操作、注銷操作，應用程序啟動運行時載入相關連接庫失敗操作等等；既然如此，如何才能讓Windows系統日志自動追蹤、記憶文件刪除操作事件呢?要做到這一點，需要啟用Windows系統的對象審核功能，并對該功能進行合理的設置，下面本文就以Windows 7系統環境為例，向大家介紹一下這方面的具體設置步驟：

對文件刪除操作設置審核權限

Windows 7系統無法追蹤記錄普通分區格式中的文件刪除事件，只能對NTFS格式分區中的內容進行記憶，因此在啟用文件刪除操作的審核權限之前，先要查看待追蹤的磁盤分區是否是NTFS格式；在進行這種查看操作時，用鼠標右鍵單擊目標磁盤分區，從彈出的快捷萊單中執行“屬性”命令，彈出如圖1所示的屬性對話框，在常規標簽頁面中，就能清楚地查看到目標磁盤分區究竟是什么格式了。要是目標磁盤分區格式不對時，可以依次單擊系統桌面中的“開始”|“運行”命令，在彈出的系統運行對話框中，輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行工作窗口，在命令提示符中執行“convert X：／fs：ntfs”命令(“X”為目標磁盤分區符號)，這樣就能對目標分區進行無損格式轉換操作了。

在確認目標磁盤分區格式符合要求后，用鼠標右鍵單擊該分區圖標，執行右鍵菜單中的“屬性”命令，切換到該分區的屬性對話框中，選擇“安全”標簽，在對應標簽設置頁面中的右下方點擊“高級”按鈕，打開高級安全設置對話框，選擇這里的“審核”標簽，繼續單擊該標簽頁面中的“編輯”按鈕，在其后界面中再單擊“添加”按鈕，彈出選擇用戶或組對話框(如圖2所示)；單擊這里的“高級”選項，同時按“立即查找”按鈕，隨后我們就能看到本地系統中的所有用戶和組名稱了，選中“Everyone”賬號名稱，并用鼠標雙擊該賬號，目標用戶賬號就被成功導入進來，按“確定”按鈕切換到“Everyone”賬號的審核項目列表中；

從訪問列表中，找到“刪除子文件夾及文件”審核項，同時將對應項目的“成功”、“失敗”都選中(如圖3所示)，再單擊“確定”按鈕保存設置，這樣普通用戶以“Everyone”賬號刪除本地系統中的文件夾或文件是，無論操作有沒有成功，Windows 7系統的日志功能都會對它們的痕跡進行追蹤、記憶。

對對象訪問策略啟用審核功能

上面的設置雖然解決了Windows 7系統可以追蹤文件刪除痕跡，但是還無法保證系統能自動追蹤、記憶這方面的事件，要實現自動追蹤、記憶目的，還需要對Windows 7系統的對象訪問策略啟用審核功能，下面就是具體的啟用步驟：

首先依次單擊Windows 7系統桌面中的“開始”|“運行”命令，切換到系統運行對話框中，輸入字符串命令“gpedit.msc”，按回車鍵后，彈出系統組策略編輯界面；

其次從該編輯界面的左側列表區域，逐一展開“計算機配置”|“windows設置”|“安全設置”|“本地策略”|“審核策略”分支，在目標分支下面找到“審核對象訪問”選項，用鼠標雙擊該選項，打開如圖4所示的選項設置界面；

在本地安全設置標簽頁面中，我們發現系統默認沒有啟用審核對象訪問功能，此時可以將“成功”、“失敗”選項選中，再按“確定”按鈕保存設置即可。

定期追蹤文件被刪痕跡

完成上面的各項設置任務后，Win7系統現在就能準確追蹤系統被刪文件痕跡了，只要目標磁盤分區中有文件或文件夾被普通用戶刪除掉，哪怕刪除操作沒有成功，我們都能從系統的相關日志中找到被刪文件的痕跡，包括被刪除文件的名稱是什么，刪除操作是什么時候進行的，而且還能清楚地查看到究竟是誰偷偷刪除了文件。在查看被刪文件的具體信息時，可以按照如下步驟來進行：

首先用鼠標右鍵單擊系統桌面中的“計算機”圖標，從彈出的右鍵菜單中點選“管理”命令，切換到對應系統的計算機管理窗口，在該管理窗口的左側列表區域中，逐一展開“系統工具”|“事件查看器”|“Windows日志”|“安全”分支，在對應分支下面我們會看到各種安全審核記錄，這當中也包括被刪文件的審核記錄，用鼠標雙擊某個記錄選項，從其后界面中就能看到具體文件的刪除信息了。

為了驗證系統能否自動追蹤文件被刪痕跡，筆者特地在剛才啟用了審核功能的目標磁盤分區中，人為刪除了一個測試文件來進行試驗；文件刪除操作成功后，立即切換到計算機管理窗口，打開系統安全日志，看到事件列表中有一條“信息2011-10-29 10：46：07安全審核”之類的記錄，如圖5所示；用鼠標雙擊該事件記錄，從其后彈出的事件屬性對話框中，筆者看到這里非常直觀地將被刪除文件的路徑顯示了出來，同時還能看到具體的文件名稱、被刪文件的類型、文件被刪除的時間等等，通過這些信息我們就能判斷文件刪除操作究竟是有意的還是無意的，究竟會不會對系統的安全帶來威脅。

及時報警文件被刪事件

對于一些惡意的文件被刪事件，如果我們能夠及時發現，并采取相關安全措施防范，可以確保安全威脅降低到最小限度。Windows 7系統為了幫助用戶及時發現惡意事件，特地新增加了附加任務到事件功能，利用該功能可以強制系統在追蹤到文件被刪事件時，立即發出一些明顯的警報信息，例如可以播放報警音樂，或者通過發送電子郵件，或者啟動運行特殊的報警程序等等，用戶一旦看到指定的報警信息，就能知道系統中有文件被刪除了。例如，希望系統通過播放報警音樂，來提醒用戶文件被刪事件發生時，可以按照如下步驟設置Windows 7系統的附加任務到事件功能：

首先打開系統計算機管理窗口，展開其中的“系統工具”|“事件查看器”|“Windows日志”|“安全”分支，從該分支下找到剛才生成的“信息2011-10-2910：46：07安全審核”事件記錄，用鼠標右擊該事件選項，點選右鍵菜單中的“將任務附加到此事件”命令，打開附加任務向導對話框；

其次將附加的任務名稱取為“文件被刪時自動報警”，當系統屏幕上出現如圖6所示的設置對話框時，選中“Start a program”選項，單擊“next”按鈕；單擊“Browse”按鈕，從彈出的文件選擇對話框中，將保存在本地系統中的報警音樂文件選擇并導入進來，再按“finish”按鈕完成設置操作，這樣一來用戶日后聽到報警音樂時，就能在第一時間知道文件被刪事件發生了。