路径信息 火眼取证软件 用户痕迹->最近访问的项目 FileType == "文件"看最近使用的文件 看修改系统时间时的时间在分析中选择系统日志进行分析, 在 事件日志->系统 按照时间排序可以看到修改系统时间的日志条目中有NewTime和OldTime 远程连接本机的时间在 远程桌面->远程连接过本机的记录 可以看到 连接u盘的…