드라이브가 초기화되었거나 NTFS 파티션이 생성 된 시점을 확인하는 것이 매우 유용한 클라이언트가 있습니다. 어딘가에 타임 스탬프 값이 있습니까? 누구든지 조언을 줄 수 있다면 크게 감사하겠습니다.
감사!
슬래시
답변
예. LAN을 통해서도 할 수 있습니다.
CIFS 트랜잭션은 TRANS2_QFSINFO정보 수준은 SMB_QUERY_FS_VOLUME_INFO입니다. 볼륨의 생성 시간을 쿼리에 대한 기본 Windows NT API 함수는 ZwQueryVolumeInformationFile()산출하는 FILE_FS_VOLUME_INFORMATION에 대해 물었을 때합니다 (CIFS 하나 거의 동일, 주) 데이터 구조를 FileFsVolumeInformation정보의 클래스입니다. 이 쿼리가 작동하는지 테스트하는 것은 Microsoft가 드라이버 개발자에게 제공하는 IFS 테스터의 일부입니다.
흥미롭게도 아무도 볼륨을 쿼리하고 생성 타임 스탬프를 사람이 읽을 수있는 형식으로 인쇄하는 편리한 유틸리티를 작성하지 않은 것으로 보입니다. 1 내가 알 수있는 한 가장 가까운 것은 SysInternals의 procmon도구 를 크롤링 하여 스트리밍되는 볼륨 정보 쿼리를 찾는 것입니다. 아마도 이것을 읽는 사람은 강화 된 vol명령 을 만들도록 영감을받을 것 입니다.
예, 볼륨 생성 타임 스탬프 가 올바르게 초기화되었으며 0 또는 다른 상수로 설정되지 않았습니다. 나는 확인하지 않았지만이 정보의 저장 위치에 대한 교육받은 추측 $STANDARD_INFORMATION은 $VolumeMFT 항목 의 속성입니다 . 가능한 다른 세 곳을 생각할 수 있지만 가장 논리적 인 곳입니다.
하나grawity 의 유틸리티는 단순한의 사용을 포함하여 좀 더 폴란드어, 필요 FileTimeToSystemTime()와 GetTimeFormat()그것을 할 수없는 Win32에서 그들의 머리에 타임 스탬프를 디코딩 최종 사용자를 위해 사용할 수 있도록. ☺
답변
NTFS에 기본 제공되는 “볼륨 생성 날짜”는 없습니다. 그러나 System Volume Information볼륨의 루트에있는 디렉토리 의 작성 날짜를 보면 작성 날짜와 매우 근접 할 수 있어야합니다 .
답변
이것은 어딘가에 노출됩니다. Windows XP CD를 부팅하고 복구 콘솔에 액세스하는 경우 chkdsk 버전은 실행이 완료된 후 볼륨 생성 날짜를 인쇄합니다.