Если они сделали это криминалистически корректный путь, то нет НИКАКОГО СПОСОБА определить то, что было исследовано. Корректный путь состоял бы в том, чтобы судебная технология вытащила жесткий диск, клонируйте его, возвратите свой жесткий диск машине и затем исследуйте изображение клона. Не будет никаких трассировок вообще на Вашем диске, так как он никогда не загружался. Они будут работать строго из изображения клона, и необходимо рассмотреть все на жестком диске, как поставленном под угрозу, и также необходимо знать, что они, возможно, сохранили изображение или части изображения. Надежда, на которой у Вас ничего не было там Вы, будет сожалеть.
Самый быстрый способ просмотреть время, к Вашим файлам в последний раз получили доступ, насколько я знаю:
Загрузите средство поиска Все: http://www.voidtools.com/
Установите его и запустите программу и ожидайте его для индексации диска (должен занять меньше чем минуту),
Richt-нажмите на заголовки столбцов (где это говорит "дату, измененную"), и включите, "В последний раз получил доступ"
Теперь ищите что-то случайное, как windows
Нажмите на новый заголовок столбца, "В последний раз получил доступ" к результатам поиска вида, так, чтобы последний были на вершине
Удалите свой старый поиск и ищите *.*
. Это займет много времени, особенно если это будет первым разом, когда Вы используете Все; это могли быть до 10 минут, я не знаю сколько времени: это зависит от Вашего ПК; просто заставьте ждать, мне потребовались 3 минуты на этом староватом ПК
Теперь у Вас есть список всех файлов на Вашем ПК, перечисленном к тому времени, когда к ним в последний раз получили доступ с датами и временем.
Обратите внимание, что Windows также получает доступ к некоторым файлам, когда ПК работает без внешнего вывода, таким образом, он, Вы не можете быть уверены, что это были они, кто получил доступ к файлу.