Comment rechercher sur tout le disque dur des fichiers modifiés à une date particulière? [dupliquer]

J'ai détecté un virus il y a quelques heures et j'ai identifié l'un de ses fichiers. Je connais la minute exacte à laquelle le virus a été installé et je souhaite rechercher dans mon disque dur entier les fichiers modifiés au cours de cette minute. Y a-t-il un utilitaire qui peut le faire? La recherche Windows recherche uniquement les documents.

J'utilise Windows 8.

Ouvrez l'Explorateur de fichiers à partir du bureau. Accédez à la racine de votre disque dur (C: \ probablement). Tapez / cliquez dans le champ de recherche et tapez comme suit: System.DateModified:YYYY-MM-DDThh:mm:ssoù la date et l'heure sont celles dont vous savez que le virus est apparu et sont décrites dans ISO-8601, illustré ici: http://www.w3.org/TR/NOTE- datetime .

Les termes de recherche Windows sont appelés «syntaxe de requête avancée» et contiennent un certain nombre de termes utiles, dont la plupart ne sont pas exposés aux utilisateurs finaux via l'interface de recherche Windows. Il s'agit d'un exemple, expliqué dans ce document MSDN: http://msdn.microsoft.com/en-us/library/bb266512%28VS.85%29.aspx dans la section «Propriétés DateTime dans Windows 8».

Notez que vous devrez peut-être développer l'index pour rechercher le lecteur entier et également que l'index ne recherchera pas certains endroits ( C:\Windows\CSC\par exemple).

Il existe de nombreuses façons de procéder. Vous pouvez essayer un programme comme

http://www.mythicsoft.com/page.aspx?type=filelocatorlite&page=home

Je n'utilise pas 8 ou même 7. MAIS j'utiliserais CMD. Il y a plusieurs façons de le faire, mais la manière la plus simple serait de faire DIR tout le lecteur avec des sous-dossiers filtrés pour l'heure créée, puis de rechercher une chaîne qui correspond au format de la date et de l'heure. Pour coller dans une fenêtre CMD, faites un clic droit et choisissez coller. (encore une fois jamais utilisé win8)

Ce n'est pas si compliqué que le code ci-dessous rechercherait le lecteur C: pour un fichier créé "19/01/2013 06:38 PM" la sortie serait C: \ FoundFiles.TXT.

@dir c:\*.* /s /t:c | findstr "01/19/2013  06:38 PM">c:\FoundFiles.TXT 

Le code ci-dessous recherchera les fichiers cachés et les affichera dans c: \ FoundHiddenFiles.TXT

@dir c:\*.* /s /a:h /t:c | findstr "01/19/2013  06:38 PM">c:\FoundHiddenFiles.TXT

utiliser / t: a pour les fichiers "consultés en dernier" et / t: w pour les derniers fichiers écrits

Pour ouvrir CMD dans Windows 8, recherchez simplement CMD dans les applications. Vous devrez peut-être ajuster la chaîne pour qu'elle corresponde à votre sortie DIR dans la fenêtre 8. De plus, je ne sais pas si Windows 8 vous donne accès au C :. Chaque recherche ne devrait prendre qu'une minute, elle ne vous donnera que les noms de fichier et non l'emplacement et chaque fois que vous l'exécuterez, elle effacera l'ancien résultat de la recherche. le " . " devrait être facultatif, mettez-les juste au cas où.

espérons que cela aide quelqu'un.

Une dernière chose. Vous pouvez simplement diriger tout le lecteur de darn le sortir vers un fichier texte, puis rechercher avec un mot ou un bloc-notes ou tout ce qu'ils vous donnent avec Windows 8. Les codes ci-dessous sortiront tout votre contenu de vos disques durs triés lorsque les fichiers ont été créés.

dir c:\*.* /s /o:d /t:c >C:\AllFiles.TXT

Et si vous souhaitez rechercher tous les fichiers cachés, utilisez

dir c:\*.* /s /o:d /t:c /a:h >C:\AllHiddenFiles.TXT

Je suis venu ici à la recherche du même problème.

dans Windows 8.1, la date au format ISO 8601 (YYYY-MM-DDThh: mm: ss) ne fonctionnait pas pour moi si j'ajoutais Thh: mm: ss à la date. Date sans heure était ok. «2014- 1- 15»

Mais cela a fonctionné avec le temps: 15- 14 janvier 16:24 Vous devrez peut-être utiliser votre format régional, par exemple 15/01/14 16:24 ou universel: 2014- 15-15 16:24

Au lieu de rechercher l'heure de modification, je vous suggère de rechercher des fichiers CRÉÉS à cette date et heure. Comme les fichiers ont créé / modifié / accédé aux dates: System.DateCreated:15-‎Jan-‎14 16:24

Il fonctionne également sans «système». pour moi:DateCreated:‎15-‎Jan-‎14 16:24

De plus, dans notre cas, c'est une bonne idée d'élargir votre recherche, comme une période de 10 minutes:

DateCreated:‎15-‎Jan-‎14 16:24..15-Jan-14 16:34

ou avec date dans un format indépendant de la langue:

DateCreated:‎2014-‎1-‎15 16:24..2014-‎1-‎15 16:34

vous entrez cette chaîne dans la fenêtre de l'Explorateur de fichiers dans le répertoire racine de votre lecteur principal (c :) dans une zone de liste déroulante Rechercher dans ce PC à droite de la zone de texte de l'adresse.

Vous devez également inclure les fichiers système dans la recherche, car je pense que le dossier AppData est en dehors de l'espace indexé et ne sera pas recherché autrement. Et c'est là que les virus aiment résider. Pour ce faire, cliquez sur Rechercher dans le menu, puis sur Options avancées et fichiers système.

Dans le volet des résultats, vous verrez les dates de MODIFICATION, certaines hors limites que vous avez spécifiées. Si vous regardez la propriété de chaque fichier, vous verrez que la date de création est dans la plage spécifiée. Ils ont été modifiés après leur création

(J'ai fait une photo mais je ne peux pas la poster)

Il existe une commande DOS appelée forfiles que vous pouvez utiliser

forfiles /P C:\ /S /D -1 /M *.*

vous pouvez également utiliser une syntaxe plus avancée comme appeler un programme (ou appeler une commande DOS avec cmd / c ...)

forfiles /P C:\ /S /D -1 /M *.* /C "cmd /c echo @fname @fdate"

voir forfiles /? pour la syntaxe et les paramètres comme @fname, @fdate etc.

pour ouvrir l'invite de commande, allez dans le menu Démarrer / Rechercher ... et tapez CMD et appuyez sur la touche ENTRÉE pour ouvrir la fenêtre DOS

(PS, je ne peux pas le faire fonctionner sur mon système - semble renvoyer tous les fichiers, pas seulement ceux modifiés la veille, comme je le précise avec / D -1 - probablement parce qu'il a un bug avec les dates grecques étant DD / MM / AAAA et non MM / JJ / AAAA)

CORRECTION: il semble y avoir un malentendu (par moi et d'autres aussi à en juger par une recherche sur le net) sur ce que fait / D -dd, il semble qu'il ne recherche pas les fichiers datant de jj jours, mais plus anciens que jj jours

vous devez donc utiliser la syntaxe / J + jj / MM / aaaa de FORFILES et y saisir la date d'hier pour trouver tous les fichiers dont la date est supérieure à celle d'hier. Pour automatiser cela, vous pouvez utiliser% date% et l'analyser avec% date: ~ 7,2% /% date: ~ 4,2% /% date: ~ -4% ou quelque chose comme ça (il faudra peut-être réorganiser les parties de date là en fonction de votre région)