網管小賈 / sysadm.cc

最近夜里不太平，沒想到今晚又輪到我和小六子值夜。

上班前隊長特地吩咐，丞相這幾天心情不太好，昨晚又有人意欲行刺，結果讓丞相當場斬殺，讓我倆打起精神務必小心行事。

好不容易前半夜熬過去了，正以為應該沒啥事了，哪成想約莫后半夜四更天的樣子，屋里突然有了動靜。

我和小六子這心啊一下子都提到嗓子眼了！

“來人啊，快來人！有人動了我的 U 盤！”

我滴天啊，我倆魂都飛了，我就壓低聲音招呼小六子，怎么沒人了，一瞅，好么，這小子早躺地上口吐白沫不省人事了。

沒招了，只好我自己一人硬著頭皮戰戰兢兢進入屋內。

“丞...丞...丞相！請...請...請吩咐！”我壯著膽子說道。

“啪”的一下，飛過來一樣東西甩我臉上，給我一激靈。

我一捂臉，差點尿了，趕緊跪在地上，這才發現那東西好像是個 U 盤。

“肯定是那些老匹夫，趁我不在把我的小姐姐都拷了去！哇呀呀...給我查查是不是有人拷過我的文件！”

此時的我已然是老淚縱橫，癱軟不得動彈，心中萬分后悔干了這份要人命的差事，心想丞相唉，我上哪幫你查這案子去啊！

見我沒有回應，這丞相一怒之下拔出佩劍，唰地架我脖子邊上。

我只覺得上面倒吸一口涼氣，下面一股暖流，用力兩腳一蹬，不知怎么只聽“Duang”的一聲重重地摔了下去......

等我掙扎著爬起來時，才發現好像做了個亂七八糟的破夢。

我長出了一口氣，把自己收拾利索之后，突然回想起夢中的那個古怪問題：如何知道別人拷貝過 U 盤里的文件！

好么，這電腦是個什么破問題啊，這么一折騰是睡意全無，要不干脆研究研究吧。

看似簡單的一個問題結果之后卻折騰了我好幾天。

我查遍了三山五岳、五湖四海，就差找觀士音菩薩了，最后得出結論是系統不記錄 U 盤拷貝動作，因此沒辦法知道有沒有人拷貝過文件。

那就真的到此為止了嗎？

你看哈，如果是從電腦往 U 盤上拷文件，那電腦上至少還留有訪問記錄可循。

比如 最近訪問 一項中就會看到哪些文件被訪問過。

就算是你清除掉了這些痕跡還是可以找到一些蛛絲馬跡，這在我之前寫的《系統偷偷保留的程序使用記錄，你知道都在哪兒嗎？》中有詳細的介紹。

但是現在問題不一樣了，就一光桿 U 盤，也沒電腦，最多只有自己的電腦。

別人要是拿你 U 盤拷東西也不用到你自己的電腦啊，咱也更不可能去看別人的電腦有沒有留下什么痕跡。

“您好！勞駕，看下您的電腦，我懷疑您偷偷拷我文件來著。”

這么說肯定被人打斷腿啊！

這不行那不行，就真的沒戲了嗎？

我們這么想哈，拷貝文件那肯定是動過文件，那就多多少少會有一些變化吧。

經過我測試一陣后，發現文件的訪問時間會起一些變化。

有時和 U 盤的分區格式還有關系，具體分析如下。

電腦

FAT/FAT32 格式下，即使你沒有打開或操作這個文件，就算是單純查看文件屬性，其文件訪問時間也會發生變化。

我們隨便找個 U 盤上的文件試試哈，第一次右鍵查看屬性，訪問時間是這樣式兒的。

看清楚了嗎？

好，關閉這個屬性窗口，然后不干別的，還是這個文件，再次右鍵打開文件屬性。

你看看，它的訪問時間立馬變成了當前最新時間了！

OK，接下來看看 NTFS 格式吧。

和前面一樣依葫蘆畫瓢，只通過查看文件屬性來觀察訪問時間的變化。

第一次查看文件屬性，確認訪問時間是舊的。

好，關閉屬性窗口，再次查看屬性中的訪問時間。

好么，啥都沒干就更新了！

經過前后對比我們可以很清楚地看出，在 NTFS 分區格式下不但和 FAT/FAT32 分區格式下一樣文件訪問時間起了變化，而且還詳細到了具體的時分秒。

嘖嘖，不愧是 NTFS 啊！

嗯， FAT/FAT32/NTFS 這些善變的家伙我們剛剛領教了，然而通常情況下 U 盤還有一種分區格式 exFAT ，它會是什么情況呢？

不試試怎么知道呢，來吧，前面的測試方法再來一遍。

第一次查看屬性，訪問時間確認是舊的沒問題。

好，再次打開屬性查看訪問時間...哎...怎么沒變化？

是我眼花還是操作有誤？

其實都沒問題，這個 exFAT 與前面那幾位是截然不同，它的原則是，只要你不動它，它就不亂動，即使查看一下屬性也是無傷大雅。

當然這里還有個小細節，就是 exFAT 和 FAT/FAT32 一樣，文件訪問時間沒有具體到時分秒。

以上分析過的分區格式至少是 Windows 下 U 盤等移動設備的常見常用分區格式，至于 Linux 或 MacOS 等系統支持的分區格式不在本文討論范圍之內，有機會會再出文章研究的。

好了，到目前為止我們暫時可以得出一個結論，即使用 FAT/FAT32/NTFS 格式的 U 盤，在文件被拷貝之后其訪問時間是一定會發生變化的。

即使沒有做什么特殊的操作而僅僅是查看文件屬性，系統也會更新當前文件的訪問時間屬性。

不過 exFAT 分區格式下任你怎么搞，也看不出來有什么變化。

那么得出以上結論后，我們對實際如何使用和保護 U 盤資料就可以有所選擇了。

比如盡量將 U 盤格式化為 NTFS 格式，現在的 U 盤容量都比較大，完全支持 NTFS 格式。

這種格式可以使訪問時間精確到時分秒，更加有利于我們判斷文件是否被別人動過。

而通常 U 盤默認格式化的分區格式是 FAT/FAT32 ，那么這種格式呢文件訪問時間只能精確到日期，如果當天發生文件被拷事件就無法判斷了。

最后最剛的就是 exFAT 格式了，不但日期不能更精確，而且它的訪問時時還沒變化，起不到判斷的作用。

說到這兒，可能有的小伙伴會發現一個 BUG 。

如果懷疑有人拷貝了自己的文件，那我一旦查看了文件的屬性，它不就又變化了？

為了不讓文件訪問時間無故刷新，有什么辦法可以不用點開屬性就能看到實際的文件訪問時間呢？

為此，我自己做了一個小程序（文末下載），通過程序查看就不會影響到訪問時間的變化。

比如，FAT32 格式的 U 盤，可以批量查看里面文件的各個時間，包括創建時間、修改時間和訪問時間。

再來格式化成 NTFS 格式試一下。

訪問時間精確到時分秒，非常棒！

即使是使用終端程序拷貝文件也會使文件的訪問時間發生變化。

不信？我們來試試。

比如將U 盤 X:\path\foo.xxx 文件拷貝到 C:\ 。

copy X:\path\foo.xxx C:\

拷貝前：

拷貝后：

網管小賈的文件屬性查看器

XJFileProperty.7z(43K)

下載鏈接：https://pan.baidu.com/s/1c4N4M8u_UXd7E3GviIBjCQ

提取碼：

雖說現在是網盤盛行的時代，但是由于有些文檔資料，特別是非常重要的資料并不一定適合存放在網盤上。

一旦網盤掛了，那么只能欲哭無淚，萬事成蹉跎啊！

因此不少小伙伴肯定選擇存放在自己手里的移動設備中，使用方便，隨存隨取。

但便利的同時也帶來了一定的安全隱患，容易丟失或泄漏資料，所以本文也為大家提供一個不是辦法的辦法來幫助大家處理一些實際情況。

很明顯，本文的辦法只是一種被動方法，當有人拷貝了文件后，資料已經被泄漏了，所以說最好的保護方案是加密。

最簡單的加密方案可以使用 Bitlocker ，有興趣的小伙伴可以嘗試一下。

如果點贊數多，我也會抽空專門寫一篇 U 盤使用 Bitlocker 的文章。

好，關注我，關注我，關注我！

PS：有小伙伴提出，根據文章操作自己的 U 盤在 NTFS 格式下并沒有預想地會更新文件的訪問時間（Last Access Time）。

后來我又嘗試了一下，的確非常奇怪，我這邊也發生了同樣的情況。

要知道文章中我可是有截圖作證的，明明訪問時間發生了變化，為什么現在又不靈了？

于是我又去查找資料了，總歸要有個固定的結論來給小伙伴們一個交代嘛！

好在最終，我查到了！

大家可以參考微軟官方文章《 NTFS 是如何工作的》。

http://technet.microsoft.com/en-us/library/cc781134(WS.10).aspx

文章內容太過多，我給大家簡單總結一下。

針對訪問時間的更新，其實 NTFS 是這樣設計的。

為了避免磁盤頻繁讀寫操作而引發性能問題，文件的訪問時間更新會有一小時的間隔時間。

也就是說，比如你的文件上一次訪問時間是上午 9:00 ，那在當天上午 10:00 之前（比如 9:59 ）去查看它的屬性或拷貝它，它的訪問時間是不會更新的。

而一旦超過了一小時（比如 10:01），那么它的訪問時間立刻就會更新為當前時間。

并且這個更新時間是非常準確的，不更新不代表它不準確，因為這個訪問時間只是暫存在內存中。

話又說回來，NTFS 有這么一個設計BUG 存在，那么我只能深表遺憾。

當真的發生別人拷貝自己文件的情況下，我們至少在事發一個小時之后才可能得知！

哈哈，這么說的話那些有重要資料的小伙伴們還蛋定的了嗎，請務必把東西看住啊！

好了， 奇怪的知識又增長了， 小伙伴們可以動手試一試，很有趣的體驗哦！

最后別忘記點贊、轉發和關注哈！

將技術融入生活，打造有趣之故事

網管小賈 / sysadm.cc