阳光明媚-如何找到在局域网里访问或删共享文件的人

02

2022
01

如何找到在局域网里访问或删共享文件的人

昨天有人在群里问了个问题，想知道谁打开或删除了共享文件夹里的文件。

如果是在FTP或者有完整日志记录的NAS上，这其实都不难办到，直接查看日志就可以。但办公室里的局域网共享文件，大多都是在Windows操作系统上直接建立一个共享文件夹，基本上文件操作是没有任何日记录的，再加上默认设置下，Windows都不对远程登录做记录，事后甚至都不知道是哪台机器连接过共享文件夹。虽然看似无处下手，但办公室环境的小局域网，也并不是完全没有办法。其实说起来，几年前曾帮我的顶头上司在她老公的公司里查过一次类似的情况，当时的情况，公司几间办公室组成一个局域网，大概有十来台，不知道谁一时手欠删除了共享里重要的文档，虽然经过内部调查已经有了大致的方向，但为了保险，还是找我去找找技术证据，结合此前的经验和群友的提问，我用自己的局域网搭建一个环境，并用一些比较容易获得的免费工具来尝试还原一个“案发现场”。

我们知道，局域网里如果没有安装安全审计设备，操作系统也没有做额外安全设置的话，确实很难直接确定删除文件的人。但好处是局域网一般就那么几台电脑，就是把所有电脑都调查一遍，取证的时间通常都不会太久。

我这里的模拟环境是一个WinXP电脑建立的共享文件夹，是D盘的soft文件夹，然后又在soft下新建了一个文件夹“学习（勿删）”，复制一些学习资料进去，随后从网络上另一台Win11机器登录这个共享文件夹，然后“不小心”删除掉了这个“学习（勿删）”……

首先自然是在建立共享文件夹的“服务器”上先检查一下。在“服务器”上，使用任意文件恢复工具，一般都可以确定文件被删除的时间，这个时间比较重要。如果要更精确的文件操作记录，一般建议试试SysTool NTFS Log Analyzer这个工具，是一个免费软件，很容易下载到，它可以分析NTFS文件系统的日志，从而获得更精确的文件记录，例如建立、修改、删除等具体时间和操作类型，并且可以导出全部记录为CSV表格，方便在其他地方查阅。不过经测试，这个工具在Windows11上存在兼容问题，在此前的版本上应该可以。

在我这个例子中，D盘“学习（勿删）”文件夹和里面的若干文件都被删除了。经过检查，可以发现这个文件被删除的精确时间2022-1-2 11:14:39。当然这里需要单独说一下，文件夹路径中“orphan folder”是“孤立文件夹”的意思，代表软件没有能从日志分析中发现它的隶属关系，并不是文件夹名字叫orphan folder。在这里因为我对其中这些文件名是完全掌握的，所以我可以很快确定这些文件就是被删除的文件。

有了精确时间，再去局域网中找到那些可能重点访问共享文件夹的机器上再次取证，这次我们需要使用nirsoft工具集中LastActivityView这个工具。用它可以列出本机大量详细操作和时间。

在这个例子中，这台“嫌疑”电脑确实曾在2022/1/2 11:13:33之后一段时间访问过共享文件夹\\192.168.1.111\Soft\学习（勿删）这个地址，时间刚好在删除时间之前不久。

实际上，在几年前的那次调查中，我也是用这个工具，确定了嫌疑电脑上最后访问共享文件夹的时间，与“嫌疑人”在公司办公室活动时间相吻合，所以在技术和逻辑上确定了目标。

如果还需要进一步做实证据，还可以使用WinLogOn View，检查一下本机远程登录其他计算机的登录日志

因为本机是使用Windows Live ID登录的，是使用一个邮箱登录，而共享文件夹的电脑是一个WinXP电脑，使用Administrator帐户登录，本机访问共享文件夹默认会先用本机用户名（邮箱）登录，登录失败后会弹出一个输入账户密码的窗口，直到输入正确的用户密码才可以访问共享文件夹。而使用WinLogOn View就可以看到这个使用Administrator用户名登录远程计算机的过程。这个过程很多人在使用局域网共享文件夹的时候都有遇到过。

此外，nirsoft工具集里的RecentFiles View也可以检测本机最近打开的文件记录，这个对确定本机具体使用了哪些文件比较有帮助，相较LastActivityView保罗万象，RecentFiles View聚焦于打开的文件方面。并且会直接列出来哪些文件目前已经无法访问了（红色高亮）。这对确定文件操作过程比较有帮助。

当然了，nirsoft工具集里还有一个ShellBags View，可以调取系统打开的文件夹记录，算是对前面取证的一个补充。