取证方式 分析方法 SI_CTime: SI_ATime: SI_MTime: SI_RTime: FN_CTime FN_ATime FN_MTime FN_RTime ……
日志 事件ID 触发场景 设备类型 日志位置 2100 磁盘/存储设备安全移除 U盘/硬盘 Partition/Diagnostic 日志 225 设备意外断开(含USB设备) 蓝牙/U盘/外设 System 系统日志 Microsoft-Windows-Partition%4Diagnostic.evtx 文件 在USB设备连接或……
