網(wǎng)管小賈 / sysadm.cc

最近夜里不太平，沒想到今晚又輪到我和小六子值夜。

上班前隊(duì)長特地吩咐，丞相這幾天心情不太好，昨晚又有人意欲行刺，結(jié)果讓丞相當(dāng)場斬殺，讓我倆打起精神務(wù)必小心行事。

好不容易前半夜熬過去了，正以為應(yīng)該沒啥事了，哪成想約莫后半夜四更天的樣子，屋里突然有了動(dòng)靜。

我和小電腦六子這心啊一下子都提到嗓子眼了！

“來人啊，快來人！有人動(dòng)了我的 U 盤！”

我滴天啊，我倆魂都飛了，我就壓低聲音招呼小六子，怎么沒人了，一瞅，好么，這小子早躺地上口吐白沫不省人事了。

沒招了，只好我自己一人硬著頭皮戰(zhàn)戰(zhàn)兢兢進(jìn)入屋內(nèi)。

“丞...丞...丞相！請...請...請吩咐！”我壯著膽子說道。

“啪”的一下，飛過來一樣?xùn)|西甩我臉上，給我一激靈。

我一捂臉，差點(diǎn)尿了，趕緊跪在地上，這才發(fā)現(xiàn)那東西好像是個(gè) U 盤。

“肯定是那些老匹夫，趁我不在把我的小姐姐都拷了去！哇呀呀...給我查查是不是有人拷過我的文件！”

此時(shí)的我已然是老淚縱橫，癱軟不得動(dòng)彈，心中萬分后悔干了這份要人命的差事，心想丞相唉，我上哪幫你查這案子去啊！

見我沒有回應(yīng)，這丞相一怒之下拔出佩劍，唰地架我脖子邊上。

我只覺得上面倒吸一口涼氣，下面一股暖流，用力兩腳一蹬，不知怎么只聽“Duang”的一聲重重地摔了下去......

等我掙扎著爬起來時(shí)，才發(fā)現(xiàn)好像做了個(gè)亂七八糟的破夢。

我長出了一口氣，把自己收拾利索之后，突然回想起夢中的那個(gè)古怪問題：如何知道別人拷貝過 U 盤里的文件！

好么，這是個(gè)什么破問題啊，這么一折騰是睡意全無，要不干脆研究研究吧。

看似簡單的一個(gè)問題結(jié)果之后卻折騰了我好幾天。

我查遍了三山五岳、五湖四海，就差找觀士音菩薩了，最后得出結(jié)論是系統(tǒng)不記錄 U 盤拷貝動(dòng)作，因此沒辦法知道有沒有人拷貝過文件。

那就真的到此為止了嗎？

你看哈，如果是從電腦往 U 盤上拷文件，那電腦上至少還留有訪問記錄可循。

比如 最近訪問 一項(xiàng)中就會(huì)看到哪些文件被訪問過。

就算是你清除掉了這些痕跡還是可以找到一些蛛絲馬跡，這在我之前寫的《系統(tǒng)偷偷保留的程序使用記錄，你知道都在哪兒嗎？》中有詳細(xì)的介紹。

但是現(xiàn)在問題不一樣了，就一光桿 U 盤，也沒電腦，最多只有自己的電腦。

別人要是拿你 U 盤拷東西也不用到你自己的電腦啊，咱也更不可能去看別人的電腦有沒有留下什么痕跡。

“您好！勞駕，看下您的電腦，我懷疑您偷偷拷我文件來著。”

這么說肯定被人打斷腿啊！

這不行那不行，就真的沒戲了嗎？

我們這么想哈，拷貝文件那肯定是動(dòng)過文件，那就多多少少會(huì)有一些變化吧。

經(jīng)過我測試一陣后，發(fā)現(xiàn)文件的訪問時(shí)間會(huì)起一些變化。

有時(shí)和 U 盤的分區(qū)格式還有關(guān)系，具體分析如下。

FAT/FAT32 格式下，即使你沒有打開或操作這個(gè)文件，就算是單純查看文件屬性，其文件訪問時(shí)間也會(huì)發(fā)生變化。

我們隨便找個(gè) U 盤上的文件試試哈，第一次右鍵查看屬性，訪問時(shí)間是這樣式兒的。

看清楚了嗎？

好，關(guān)閉這個(gè)屬性窗口，然后不干別的，還是這個(gè)文件，再次右鍵打開文件屬性。

你看看，它的訪問時(shí)間立馬變成了當(dāng)前最新時(shí)間了！

OK，接下來看看 NTFS 格式吧。

和前面一樣依葫蘆畫瓢，只通過查看文件屬性來觀察訪問時(shí)間的變化。

第一次查看文件屬性，確認(rèn)訪問時(shí)間是舊的。

好，關(guān)閉屬性窗口，再次查看屬性中的訪問時(shí)間。

好么，啥都沒干就更新了！

經(jīng)過前后對比我們可以很清楚地看出，在 NTFS 分區(qū)格式下不但和 FAT/FAT32 分區(qū)格式下一樣文件訪問時(shí)間起了變化，而且還詳細(xì)到了具體的時(shí)分秒。

嘖嘖，不愧是 NTFS 啊！

嗯， FAT/FAT32/NTFS 這些善變的家伙我們剛剛領(lǐng)教了，然而通常情況下 U 盤還有一種分區(qū)格式 exFAT ，它會(huì)是什么情況呢？

不試試怎么知道呢，來吧，前面的測試方法再來一遍。

第一次查看屬性，訪問時(shí)間確認(rèn)是舊的沒問題。

好，再次打開屬性查看訪問時(shí)間...哎...怎么沒變化？

是我眼花還是操作有誤？

其實(shí)都沒問題，這個(gè) exFAT 與前面那幾位是截然不同，它的原則是，只要你不動(dòng)它，它就不亂動(dòng)，即使查看一下屬性也是無傷大雅。

當(dāng)然這里還有個(gè)小細(xì)節(jié)，就是 exFAT 和 FAT/FAT32 一樣，文件訪問時(shí)間沒有具體到時(shí)分秒。

以上分析過的分區(qū)格式至少是 Windows 下 U 盤等移動(dòng)設(shè)備的常見常用分區(qū)格式，至于 Linux 或 MacOS 等系統(tǒng)支持的分區(qū)格式不在本文討論范圍之內(nèi)，有機(jī)會(huì)會(huì)再出文章研究的。

好了，到目前為止我們暫時(shí)可以得出一個(gè)結(jié)論，即使用 FAT/FAT32/NTFS 格式的 U 盤，在文件被拷貝之后其訪問時(shí)間是一定會(huì)發(fā)生變化的。

即使沒有做什么特殊的操作而僅僅是查看文件屬性，系統(tǒng)也會(huì)更新當(dāng)前文件的訪問時(shí)間屬性。

不過 exFAT 分區(qū)格式下任你怎么搞，也看不出來有什么變化。

那么得出以上結(jié)論后，我們對實(shí)際如何使用和保護(hù) U 盤資料就可以有所選擇了。

比如盡量將 U 盤格式化為 NTFS 格式，現(xiàn)在的 U 盤容量都比較大，完全支持 NTFS 格式。

這種格式可以使訪問時(shí)間精確到時(shí)分秒，更加有利于我們判斷文件是否被別人動(dòng)過。

而通常 U 盤默認(rèn)格式化的分區(qū)格式是 FAT/FAT32 ，那么這種格式呢文件訪問時(shí)間只能精確到日期，如果當(dāng)天發(fā)生文件被拷事件就無法判斷了。

最后最剛的就是 exFAT 格式了，不但日期不能更精確，而且它的訪問時(shí)時(shí)還沒變化，起不到判斷的作用。

說到這兒，可能有的小伙伴會(huì)發(fā)現(xiàn)一個(gè) BUG 。

如果懷疑有人拷貝了自己的文件，那我一旦查看了文件的屬性，它不就又變化了？

為了不讓文件訪問時(shí)間無故刷新，有什么辦法可以不用點(diǎn)開屬性就能看到實(shí)際的文件訪問時(shí)間呢？

為此，我自己做了一個(gè)小程序（文末下載），通過程序查看就不會(huì)影響到訪問時(shí)間的變化。

比如，F(xiàn)AT32 格式的 U 盤，可以批量查看里面文件的各個(gè)時(shí)間，包括創(chuàng)建時(shí)間、修改時(shí)間和訪問時(shí)間。

再來格式化成 NTFS 格式試一下。

訪問時(shí)間精確到時(shí)分秒，非常棒！

即使是使用終端程序拷貝文件也會(huì)使文件的訪問時(shí)間發(fā)生變化。

不信？我們來試試。

比如將U 盤 X:\path\foo.xxx 文件拷貝到 C:\ 。

copy X:\path\foo.xxx C:\

拷貝前：

拷貝后：

網(wǎng)管小賈的文件屬性查看器

XJFileProperty.7z(43K)

下載鏈接：https://pan.baidu.com/s/1c4N4M8u_UXd7E3GviIBjCQ

提取碼：

雖說現(xiàn)在是網(wǎng)盤盛行的時(shí)代，但是由于有些文檔資料，特別是非常重要的資料并不一定適合存放在網(wǎng)盤上。

一旦網(wǎng)盤掛了，那么只能欲哭無淚，萬事成蹉跎啊！

因此不少小伙伴肯定選擇存放在自己手里的移動(dòng)設(shè)備中，使用方便，隨存隨取。

但便利的同時(shí)也帶來了一定的安全隱患，容易丟失或泄漏資料，所以本文也為大家提供一個(gè)不是辦法的辦法來幫助大家處理一些實(shí)際情況。

很明顯，本文的辦法只是一種被動(dòng)方法，當(dāng)有人拷貝了文件后，資料已經(jīng)被泄漏了，所以說最好的保護(hù)方案是加密。

最簡單的加密方案可以使用 Bitlocker ，有興趣的小伙伴可以嘗試一下。

如果點(diǎn)贊數(shù)多，我也會(huì)抽空專門寫一篇 U 盤使用 Bitlocker 的文章。

好，關(guān)注我，關(guān)注我，關(guān)注我！

PS：有小伙伴提出，根據(jù)文章操作自己的 U 盤在 NTFS 格式下并沒有預(yù)想地會(huì)更新文件的訪問時(shí)間（Last Access Time）。

后來我又嘗試了一下，的確非常奇怪，我這邊也發(fā)生了同樣的情況。

要知道文章中我可是有截圖作證的，明明訪問時(shí)間發(fā)生了變化，為什么現(xiàn)在又不靈了？

于是我又去查找資料了，總歸要有個(gè)固定的結(jié)論來給小伙伴們一個(gè)交代嘛！

好在最終，我查到了！

大家可以參考微軟官方文章《 NTFS 是如何工作的》。

http://technet.microsoft.com/en-us/library/cc781134(WS.10).aspx

文章內(nèi)容太過多，我給大家簡單總結(jié)一下。

針對訪問時(shí)間的更新，其實(shí) NTFS 是這樣設(shè)計(jì)的。

為了避免磁盤頻繁讀寫操作而引發(fā)性能問題，文件的訪問時(shí)間更新會(huì)有一小時(shí)的間隔時(shí)間。

也就是說，比如你的文件上一次訪問時(shí)間是上午 9:00 ，那在當(dāng)天上午 10:00 之前（比如 9:59 ）去查看它的屬性或拷貝它，它的訪問時(shí)間是不會(huì)更新的。

而一旦超過了一小時(shí)（比如 10:01），那么它的訪問時(shí)間立刻就會(huì)更新為當(dāng)前時(shí)間。

并且這個(gè)更新時(shí)間是非常準(zhǔn)確的，不更新不代表它不準(zhǔn)確，因?yàn)檫@個(gè)訪問時(shí)間只是暫存在內(nèi)存中。

話又說回來，NTFS 有這么一個(gè)設(shè)計(jì)BUG 存在，那么我只能深表遺憾。

當(dāng)真的發(fā)生別人拷貝自己文件的情況下，我們至少在事發(fā)一個(gè)小時(shí)之后才可能得知！

哈哈，這么說的話那些有重要資料的小伙伴們還蛋定的了嗎，請務(wù)必把東西看住啊！

好了， 奇怪的知識(shí)又增長了， 小伙伴們可以動(dòng)手試一試，很有趣的體驗(yàn)哦！

最后別忘記點(diǎn)贊、轉(zhuǎn)發(fā)和關(guān)注哈！

將技術(shù)融入生活，打造有趣之故事

網(wǎng)管小賈 / sysadm.cc