有时候我们需要判断系统时间是否被修改过,比如,今天是2014年3月4日,我们需要检查一个文件的创建时间是否在2014年2月28日,我们可以通过该文件的属性来查看,但是,如果有人在创建该文件前就把系统时间改成2014年2月28日,再创建该文件,然后再把时间改回来,这样,文件的创建时间依旧会是2014年2月28日,所以我们需要通过系统的事件查看器来判断是否修改过时间。有一点比较坑爹,系统默认是不记录该事件的,需要我们手动激活策略后才生效。激活的方法如下:
开始 -> 设置 -> 控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 审核策略 -> 审核系统事件 -> 勾选成功和失败 -> 确定