在公共場(chǎng)合下，保存在計(jì)算機(jī)系統(tǒng)中的重要數(shù)據(jù)文件，隨時(shí)都有可能被有意、無(wú)意地刪除掉，造成這種現(xiàn)象的原因主要表現(xiàn)在兩個(gè)方面，一是用戶在操作計(jì)算機(jī)系統(tǒng)的時(shí)候由于粗心大意，不小心刪除了文件，二是不少狡猾的病毒、木馬程序?yàn)榱诉_(dá)到破壞或攻擊目的，可能會(huì)悄悄地刪除系統(tǒng)中的重要數(shù)據(jù)文件。那么，如何才能準(zhǔn)確知道自己的哪些數(shù)據(jù)文件已經(jīng)被刪除了呢?究竟是誰(shuí)偷偷刪除了我們的數(shù)據(jù)文件呢?

強(qiáng)制系統(tǒng)記憶被刪痕跡

默認(rèn)狀態(tài)下，Windows系統(tǒng)不會(huì)自動(dòng)記憶被有意或無(wú)意刪除的各類文件，要想記憶它們的刪除痕跡，一定要依賴Windows系統(tǒng)的日志功能。日志文件作為自動(dòng)記憶系統(tǒng)工作狀態(tài)的特殊文件，善于利于該文件，就能對(duì)文件刪除操作進(jìn)行跟蹤記憶了；但是，系統(tǒng)日志功能默認(rèn)不會(huì)跟蹤記憶系統(tǒng)的所有運(yùn)行狀態(tài)，不然的話，自動(dòng)生成的巨量信息會(huì)急劇消耗掉硬盤(pán)寶貴空間資源。所以，Windows系統(tǒng)在缺省狀態(tài)下只會(huì)有針對(duì)性地記憶保存系統(tǒng)中一些十分重要的事件，比方說(shuō)系統(tǒng)登錄操作、注銷操作，應(yīng)用程序啟動(dòng)運(yùn)行時(shí)載入相關(guān)連接庫(kù)失敗操作等等；既然如此，如何才能讓W(xué)indows系統(tǒng)日志自動(dòng)追蹤、記憶文件刪除操作事件呢?要做到這一點(diǎn)，需要啟用Windows系統(tǒng)的對(duì)象審核功能，并對(duì)該功能進(jìn)行合理的設(shè)置，下面本文就以Windows 7系統(tǒng)環(huán)境為例，向大家介紹一下這方面的具體設(shè)置步驟：

對(duì)文件刪除操作設(shè)置審核權(quán)限

Windows 7系統(tǒng)無(wú)法追蹤記錄普通分區(qū)格式中的文件刪除事件，只能對(duì)NTFS格式分區(qū)中的內(nèi)容進(jìn)行記憶，因此在啟用文件刪除操作的審核權(quán)限之前，先要查看待追蹤的磁盤(pán)分區(qū)是否是NTFS格式；在進(jìn)行這種查看操作時(shí)，用鼠標(biāo)右鍵單擊目標(biāo)磁盤(pán)分區(qū)，從彈出的快捷萊單中執(zhí)行“屬性”命令，彈出如圖1所示的屬性對(duì)話框，在常規(guī)標(biāo)簽頁(yè)面中，就能清楚地查看到目標(biāo)磁盤(pán)分區(qū)究竟是什么格式了。要是目標(biāo)磁盤(pán)分區(qū)格式不對(duì)時(shí)，可以依次單擊系統(tǒng)桌面中的“開(kāi)始”|“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行工作窗口，在命令提示符中執(zhí)行“convert X：／fs：ntfs”命令(“X”為目標(biāo)磁盤(pán)分區(qū)符號(hào))，這樣就能對(duì)目標(biāo)分區(qū)進(jìn)行無(wú)損格式轉(zhuǎn)換操作了。

在確認(rèn)目標(biāo)磁盤(pán)分區(qū)格式符合要求后，用鼠標(biāo)右鍵單擊該分區(qū)圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，切換到該分區(qū)的屬性對(duì)話框中，選擇“安全”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽設(shè)置頁(yè)面中的右下方點(diǎn)擊“高級(jí)”按鈕，打開(kāi)高級(jí)安全設(shè)置對(duì)話框，選擇這里的“審核”標(biāo)簽，繼續(xù)單擊該標(biāo)簽頁(yè)面中的“編輯”按鈕，在其后界面中再單擊“添加”按鈕，彈出選擇用戶或組對(duì)話框(如圖2所示)；單擊這里的“高級(jí)”選項(xiàng)，同時(shí)按“立即查找”按鈕，隨后我們就能看到本地系統(tǒng)中的所有用戶和組名稱了，選中“Everyone”賬號(hào)名稱，并用鼠標(biāo)雙擊該賬號(hào)，目標(biāo)用戶賬號(hào)就被成功導(dǎo)入進(jìn)來(lái)，按“確定”按鈕切換到“Everyone”賬號(hào)的審核項(xiàng)目列表中；

從訪問(wèn)列表中，找到“刪除子文件夾及文件”審核項(xiàng)，同時(shí)將對(duì)應(yīng)項(xiàng)目的“成功”、“失敗”都選中(如圖3所示)，再單擊“確定”按鈕保存設(shè)置，這樣普通用戶以“Everyone”賬號(hào)刪除本地系統(tǒng)中的文件夾或文件是，無(wú)論操作有沒(méi)有成功，Windows 7系統(tǒng)的日志功能都會(huì)對(duì)它們的痕跡進(jìn)行追蹤、記憶。

對(duì)對(duì)象訪問(wèn)策略啟用審核功能

上面的設(shè)置雖然解決了Windows 7系統(tǒng)可以追蹤文件刪除痕跡，但是還無(wú)法保證系統(tǒng)能自動(dòng)追蹤、記憶這方面的事件，要實(shí)現(xiàn)自動(dòng)追蹤、記憶目的，還需要對(duì)Windows 7系統(tǒng)的對(duì)象訪問(wèn)策略啟用審核功能，下面就是具體的啟用步驟：

首先依次單擊Windows 7系統(tǒng)桌面中的“開(kāi)始”|“運(yùn)行”命令，切換到系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“gpedit.msc”，按回車鍵后，彈出系統(tǒng)組策略編輯界面；

其次從該編輯界面的左側(cè)列表區(qū)域，逐一展開(kāi)“計(jì)算機(jī)配置”|“windows設(shè)置”|“安全設(shè)置”|“本地策略”|“審核策略”分支，在目標(biāo)分支下面找到“審核對(duì)象訪問(wèn)”選項(xiàng)，用鼠標(biāo)雙擊該選項(xiàng)，打開(kāi)如圖4所示的選項(xiàng)設(shè)置界面；

在本地安全設(shè)置標(biāo)簽頁(yè)面中，我們發(fā)現(xiàn)系統(tǒng)默認(rèn)沒(méi)有啟用審核對(duì)象訪問(wèn)功能，此時(shí)可以將“成功”、“失敗”選項(xiàng)選中，再按“確定”按鈕保存設(shè)置即可。

定期追蹤文件被刪痕跡

完成上面的各項(xiàng)設(shè)置任務(wù)后，Win7系統(tǒng)現(xiàn)在就能準(zhǔn)確追蹤系統(tǒng)被刪文件痕跡了，只要目標(biāo)磁盤(pán)分區(qū)中有文件或文件夾被普通用戶刪除掉，哪怕刪除操作沒(méi)有成功，我們都能從系統(tǒng)的相關(guān)日志中找到被刪文件的痕跡，包括被刪除文件的名稱是什么，刪除操作是什么時(shí)候進(jìn)行的，而且還能清楚地查看到究竟是誰(shuí)偷偷刪除了文件。在查看被刪文件的具體信息時(shí)，可以按照如下步驟來(lái)進(jìn)行：

首先用鼠標(biāo)右鍵單擊系統(tǒng)桌面中的“計(jì)算機(jī)”圖標(biāo)，從彈出的右鍵菜單中點(diǎn)選“管理”命令，切換到對(duì)應(yīng)系統(tǒng)的計(jì)算機(jī)管理窗口，在該管理窗口的左側(cè)列表區(qū)域中，逐一展開(kāi)“系統(tǒng)工具”|“事件查看器”|“Windows日志”|“安全”分支，在對(duì)應(yīng)分支下面我們會(huì)看到各種安全審核記錄，這當(dāng)中也包括被刪文件的審核記錄，用鼠標(biāo)雙擊某個(gè)記錄選項(xiàng)，從其后界面中就能看到具體文件的刪除信息了。

為了驗(yàn)證系統(tǒng)能否自動(dòng)追蹤文件被刪痕跡，筆者特地在剛才啟用了審核功能的目標(biāo)磁盤(pán)分區(qū)中，人為刪除了一個(gè)測(cè)試文件來(lái)進(jìn)行試驗(yàn)；文件刪除操作成功后，立即切換到計(jì)算機(jī)管理窗口，打開(kāi)系統(tǒng)安全日志，看到事件列表中有一條“信息2011-10-29 10：46：07安全審核”之類的記錄，如圖5所示；用鼠標(biāo)雙擊該事件記錄，從其后彈出的事件屬性對(duì)話框中，筆者看到這里非常直觀地將被刪除文件的路徑顯示了出來(lái)，同時(shí)還能看到具體的文件名稱、被刪文件的類型、文件被刪除的時(shí)間等等，通過(guò)這些信息我們就能判斷文件刪除操作究竟是有意的還是無(wú)意的，究竟會(huì)不會(huì)對(duì)系統(tǒng)的安全帶來(lái)威脅。

及時(shí)報(bào)警文件被刪事件

對(duì)于一些惡意的文件被刪事件，如果我們能夠及時(shí)發(fā)現(xiàn)，并采取相關(guān)安全措施防范，可以確保安全威脅降低到最小限度。Windows 7系統(tǒng)為了幫助用戶及時(shí)發(fā)現(xiàn)惡意事件，特地新增加了附加任務(wù)到事件功能，利用該功能可以強(qiáng)制系統(tǒng)在追蹤到文件被刪事件時(shí)，立即發(fā)出一些明顯的警報(bào)信息，例如可以播放報(bào)警音樂(lè)，或者通過(guò)發(fā)送電子郵件，或者啟動(dòng)運(yùn)行特殊的報(bào)警程序等等，用戶一旦看到指定的報(bào)警信息，就能知道系統(tǒng)中有文件被刪除了。例如，希望系統(tǒng)通過(guò)播放報(bào)警音樂(lè)，來(lái)提醒用戶文件被刪事件發(fā)生時(shí)，可以按照如下步驟設(shè)置Windows 7系統(tǒng)的附加任務(wù)到事件功能：

首先打開(kāi)系統(tǒng)計(jì)算機(jī)管理窗口，展開(kāi)其中的“系統(tǒng)工具”|“事件查看器”|“Windows日志”|“安全”分支，從該分支下找到剛才生成的“信息2011-10-2910：46：07安全審核”事件記錄，用鼠標(biāo)右擊該事件選項(xiàng)，點(diǎn)選右鍵菜單中的“將任務(wù)附加到此事件”命令，打開(kāi)附加任務(wù)向?qū)?duì)話框；

其次將附加的任務(wù)名稱取為“文件被刪時(shí)自動(dòng)報(bào)警”，當(dāng)系統(tǒng)屏幕上出現(xiàn)如圖6所示的設(shè)置對(duì)話框時(shí)，選中“Start a program”選項(xiàng)，單擊“next”按鈕；單擊“Browse”按鈕，從彈出的文件選擇對(duì)話框中，將保存在本地系統(tǒng)中的報(bào)警音樂(lè)文件選擇并導(dǎo)入進(jìn)來(lái)，再按“finish”按鈕完成設(shè)置操作，這樣一來(lái)用戶日后聽(tīng)到報(bào)警音樂(lè)時(shí)，就能在第一時(shí)間知道文件被刪事件發(fā)生了。