NTFS 파티션이 언제 만들어 졌는지 확인할 수 있습니까?

16

드라이브가 초기화되었거나 NTFS 파티션이 생성 된 시점을 확인하는 것이 매우 유용한 클라이언트가 있습니다. 어딘가에 타임 스탬프 값이 있습니까? 누구든지 조언을 줄 수 있다면 크게 감사하겠습니다.

감사!

슬래시

— 슬래시
소스

아이디어이지만 볼륨 UUID 계산을 반대로하여 날짜 / 시간을 얻을 수 있습니까? (UUID가 어떻게 생성되는지 알지 못하기 때문에 약간의 연구가 필요하며 전혀 불가능할 수도 있습니다.)

— Chris Nava

1

@ChrisNava : NTFS에 사용 된 고유 ID는 128 비트 UUID가 아니라 임의의 64 비트 숫자입니다. (게다가, 현대적인 시스템은 1 시간 기반의 UUID 중 하나 유형을 생성하지 않습니다 유형 4 랜덤 기반의 UUID가 개인 정보 보호에 대한 선호가합니다. 이었다 유형 1 UUID,하지만, 다음 역 어떤 계산 없을 것이다 타임 스탬프는 일반 광경에 저장됩니다.)

— user1686

17

예. LAN을 통해서도 할 수 있습니다.

CIFS 트랜잭션은 TRANS2_QFSINFO정보 수준은 SMB_QUERY_FS_VOLUME_INFO입니다. 볼륨의 생성 시간을 쿼리에 대한 기본 Windows NT API 함수는 ZwQueryVolumeInformationFile()산출하는 FILE_FS_VOLUME_INFORMATION에 대해 물었을 때합니다 (CIFS 하나 거의 동일, 주) 데이터 구조를 FileFsVolumeInformation정보의 클래스입니다. 이 쿼리가 작동하는지 테스트하는 것은 Microsoft가 드라이버 개발자에게 제공하는 IFS 테스터의 일부입니다.

흥미롭게도 아무도 볼륨을 쿼리하고 생성 타임 스탬프를 사람이 읽을 수있는 형식으로 인쇄하는 편리한 유틸리티를 작성하지 않은 것으로 보입니다. ¹ 내가 알 수있는 한 가장 가까운 것은 SysInternals의 procmon도구 를 크롤링 하여 스트리밍되는 볼륨 정보 쿼리를 찾는 것입니다. 아마도 이것을 읽는 사람은 강화 된 vol명령 을 만들도록 영감을받을 것 입니다.

예, 볼륨 생성 타임 스탬프 가 올바르게 초기화되었으며 0 또는 다른 상수로 설정되지 않았습니다. 나는 확인하지 않았지만이 정보의 저장 위치에 대한 교육받은 추측 $STANDARD_INFORMATION은 $VolumeMFT 항목 의 속성입니다 . 가능한 다른 세 곳을 생각할 수 있지만 가장 논리적 인 곳입니다.

^하나grawity 의 유틸리티는 단순한의 사용을 포함하여 좀 더 폴란드어, 필요 FileTimeToSystemTime()와 GetTimeFormat()그것을 할 수없는 Win32에서 그들의 머리에 타임 스탬프를 디코딩 최종 사용자를 위해 사용할 수 있도록. ☺

— JdeBP
소스

와우, 나는이 답변에 대해 +1을 줄 것입니다. 왜냐하면 그것이 내가 찾고있는 것이 었 기 때문입니다. 불행히도, 나는 시스템 내부에 대한 지식을 가진 Win32 API 프로그래머가 아니며 빠른 솔루션을 찾고있었습니다. 프로 몬에 대한 좋은 생각. 그래도 고마워!!!

— 슬래시

7

이 같은 것 ? (ugly code warning)

— user1686

8

NTFS에 기본 제공되는 "볼륨 생성 날짜"는 없습니다. 그러나 System Volume Information볼륨의 루트에있는 디렉토리 의 작성 날짜를 보면 작성 날짜와 매우 근접 할 수 있어야합니다 .

— 앤드류 램버트
소스

2

이것은 나에게 아주 좋은 근사치를 제공합니다. 빠른 답변 감사합니다! 이제 백업에 포함되지 않은 드라이브를 비난 할 사람을 알고 있습니다. :).

— 슬래시

0

이것은 어딘가에 노출됩니다. Windows XP CD를 부팅하고 복구 콘솔에 액세스하는 경우 chkdsk 버전은 실행이 완료된 후 볼륨 생성 날짜를 인쇄합니다.

— 아론
소스