क्या यह निर्धारित करना संभव है कि NTFS विभाजन कब बनाया गया था?

16

हमारे पास एक क्लाइंट है जहां यह निर्धारित करना बहुत उपयोगी होगा कि एक ड्राइव एक इनिशियलाइज्ड या एनटीएफएस पार्टीशन बनाया गया था। कहीं कोई टाइमस्टैम्प मूल्य नहीं है? अगर किसी को भी किसी भी सलाह बहा सकता है यह बहुत सराहना की जाएगी।

धन्यवाद!

-slashp

— slashp
स्रोत

सिर्फ एक विचार लेकिन क्या आप एक तारीख / समय प्राप्त करने के लिए वॉल्यूम यूयूआईडी गणना को उलट सकते हैं? (मुझे नहीं पता कि यूयूआईडी कैसे उत्पन्न होता है, इसलिए यह पता लगाने के लिए कुछ शोध करेंगे और यह संभव नहीं हो सकता है।)

— क्रिस नावा

1

@ChrisNava: NTFS में उपयोग की जाने वाली अद्वितीय आईडी 128-बिट UUID नहीं है, बल्कि एक यादृच्छिक 64-बिट संख्या है। (इसके अलावा, आधुनिक प्रणालियों 1 समय आधारित UUIDs किसी भी प्रकार उत्पन्न नहीं; प्रकार 4 यादृच्छिक आधारित UUIDs गोपनीयता के लिए पसंदीदा रहे हैं, तो यह। थे एक प्रकार 1 UUID है, हालांकि, तो उल्टा करने के लिए किसी भी गणना नहीं होगा; टाइमस्टैम्प है सादे दृश्य में संग्रहीत।)

— user1686

17

हाँ। आप इसे LAN पर भी कर सकते हैं।

CIFS लेन-देन है TRANS2_QFSINFOऔर सूचना स्तर है SMB_QUERY_FS_VOLUME_INFO। वॉल्यूम के निर्माण समय को क्वेरी करने के लिए मूल Windows NT API फ़ंक्शन है ZwQueryVolumeInformationFile(), जो सूचना FILE_FS_VOLUME_INFORMATIONके FileFsVolumeInformationवर्ग के लिए पूछे जाने पर एक डेटा संरचना (लगभग CIFS एक के समान, नोट) देता है । परीक्षण कि यह क्वेरी काम करती है IFS परीक्षक का हिस्सा है जो Microsoft चालक डेवलपर्स को आपूर्ति करता है।

दिलचस्प बात यह है कि कोई भी व्यक्ति एक उपयोगी उपयोगिता नहीं लिखता है जो सिर्फ एक वॉल्यूम पर सवाल उठाता है और मानव पठनीय रूप में इसके निर्माण टाइमस्टैम्प को प्रिंट करता है। ¹ आप जो मुझे बताने जा रहे हैं, वह निकटतम है जो कि SysInternals ' procmonटूल को क्रैंक करने के लिए है और वॉल्यूम जानकारी क्वेरी के लिए स्ट्रीमिंग द्वारा देख रहा है। शायद इसे पढ़ने वाला कोई व्यक्ति एक बढ़ी हुई volकमांड बनाने के लिए प्रेरित होगा ।

हां, वॉल्यूम निर्माण टाइमस्टैम्प को ठीक से आरंभीकृत किया गया है, और यह केवल शून्य या कुछ अन्य स्थिरांक पर सेट नहीं है। मैंने जाँच नहीं की है, लेकिन इस जानकारी के भंडारण स्थान के लिए मेरा शिक्षित अनुमान MFT प्रविष्टि की $STANDARD_INFORMATIONविशेषता है $Volume। मैं तीन अन्य संभावित स्थानों के बारे में सोच सकता हूं, लेकिन यह सबसे तर्कसंगत है।

¹grawity की उपयोगिता के लिए सिंपल यूज़ सहित थोड़े और पॉलिश की जरूरत होती है FileTimeToSystemTime()और GetTimeFormat()इसे एंड-यूजर्स के लिए प्रयोग करने योग्य बनाया जा सकता है जो अपने सिर में Win32 टाइमस्टैम्प को डिकोड नहीं कर सकते। ☺

— JdeBP
स्रोत

वाह, मैं आपको इस उत्तर के लिए एक +1 देता हूं क्योंकि यह वही था जो मैं खोज रहा था। दुर्भाग्य से, मैं सिस्टम इंटर्नल्स के ज्ञान के साथ एक Win32 एपीआई प्रोग्रामर नहीं हूं और एक त्वरित समाधान की तलाश में था। घोषणा के साथ अच्छा लगा। हालांकि धन्यवाद!!!

— स्लैशप

7

कुछ इस तरह ? (बदसूरत कोड चेतावनी)

— user1686

8

कोई "वॉल्यूम निर्माण तिथि" नहीं है जो मुझे अंतर्निहित NTFS के बारे में पता है। हालाँकि, आपको System Volume Informationवॉल्यूम के रूट में डायरेक्टरी की निर्माण तिथि को देखते हुए निर्माण तिथि को बहुत करीब से देखने में सक्षम होना चाहिए ।

— एंड्रयू लैम्बर्ट
स्रोत

2

यह मुझे एक बहुत अच्छा अनुमान देता है। तुरंत जवाब के लिए धन्यवाद! अब मुझे पता है कि ड्राइव के लिए किसे दोष देना हमारे बैकअप में शामिल नहीं है :)।

— स्लैश करें

0

यह कहीं न कहीं उजागर है। यदि आप एक Windows XP सीडी को बूट करते हैं और रिकवरी कंसोल तक पहुंचते हैं, तो chkdsk का संस्करण वॉल्यूम निर्माण की तारीख को प्रिंट कर लेगा क्योंकि यह चल रहा है।

— हारून
स्रोत