我想知道是否可以创建一个像InstallRite一样工作的powershell命令?如何查找使用powershell在最近X天内添加/删除/修改的文件
http://installrite.software.informer.com/
在InstallRite,您可以创建一个快照,安装应用程序,然后在当前环境与快照比较,以确定哪些文件和注册表已经被添加/删除/修改。
我打算将其用于取证,以便我可以轻松识别哪些文件已在最近X天内添加/删除/修改过。
试试这个:
$Nbdays=10
Get-ChildItem "c:\temp" -file |
where {$_.CreationTime.Date -le (Get-Date).AddDays(-$Nbdays).Date -or $_.LastWriteTime.Date -le (Get-Date).AddDays(-$Nbdays).Date}
谢谢。我将使用LastWriteTime和CreationTime。是否有一个等价的查询添加/修改的注册表项的命令? – Belldandy
为什么有人点击downif我的回答是正确的? – Esperento57
对不起,但我没有downvote。我是新的stackoverflow,所以我需要至少15分投票。实际上我发现你的答案很有用。 – Belldandy
删除被删除,你不能,为创建或修改的,你可以蒙山过滤其中GCI命令 – Esperento57