我想知道是否可以創建一個像InstallRite一樣工作的powershell命令?如何查找使用powershell在最近X天內添加/刪除/修改的文件
http://installrite.software.informer.com/
在InstallRite,您可以創建一個快照,安裝應用程序,然後在當前環境與快照比較,以確定哪些文件和註冊表已經被添加/刪除/修改。
我打算將其用於取證,以便我可以輕鬆識別哪些文件已在最近X天內添加/刪除/修改過。
試試這個:
$Nbdays=10
Get-ChildItem "c:\temp" -file |
where {$_.CreationTime.Date -le (Get-Date).AddDays(-$Nbdays).Date -or $_.LastWriteTime.Date -le (Get-Date).AddDays(-$Nbdays).Date}
謝謝。我將使用LastWriteTime和CreationTime。是否有一個等價的查詢添加/修改的註冊表項的命令? – Belldandy
爲什麼有人點擊downif我的回答是正確的? – Esperento57
對不起,但我沒有downvote。我是新的stackoverflow,所以我需要至少15分投票。實際上我發現你的答案很有用。 – Belldandy
刪除被刪除,你不能,爲創建或修改的,你可以蒙山過濾其中GCI命令 – Esperento57