Мне интересно, можно ли определить, когда HDD форматируется? Он был создан с помощью GParted из live linux. Ранее Windows была установлена, а файловая система была NTFS. Спасибо
1 ответ
1
Это зависит от того, что вы отформатировали. Простое разбиение диска не оставляет отметок времени. Однако, когда вы форматируете его, вы создаете новую файловую систему в данном разделе. Будет ли дата создания записана, зависит от конкретной файловой системы. Поскольку вы не сказали, в какую файловую систему вы ее отформатировали, я отвечу за самую популярную файловую систему для Windows, OSX и Linux.
Linux ext4
Это современная файловая система, поддерживаемая большинством основных дистрибутивов Linux. Это одна из самых популярных используемых файловых систем. В соответствии с макетом диска ext4, суперблок содержит 32-битную метку времени s_mkfs_time , которая содержит количество секунд с момента создания файловой системы. Чтобы получить дату создания файловой системы ext4, вы можете запустить команду отладки tune2fs от имени пользователя root в виде tune2fs -l /dev/sda1 , заменив устройство на определенный раздел, который вы хотите проверить. Это выведет много отладочной информации. Найдите поле Filesystem created .
OS X HFS+
HFS+ - это стандартная файловая система на Mac OS X и многих других устройствах Apple. Заголовок тома содержит поле createDate , которое указывает, когда том был впервые создан. Хотя я не особенно знаком с OS X, быстрый поиск показал команду hfsdebug. Эта команда принимает том файловой системы в качестве аргумента и выводит кучу отладочной информации. Найдите поле createDate , в котором указывается дата создания файловой системы.
Windows NTFS
NTFS - это файловая система, используемая большинством компьютеров Windows. Дата создания файловой системы сохраняется в FILE_FS_VOLUME_INFORMATION. Эту структуру данных можно получить с помощью встроенного в Windows NT API ZwQueryVolumeInformationFile(). Согласно ответу суперпользователя, нет удобной утилиты для извлечения этой информации, но утилита procmon SysInternals может позволить вам получить эту информацию. В ответ на этот вопрос суперпользователя была создана простая программа, которая будет полезна.
В отличие от Linux и других Unix-подобных систем, Windows не хранит временные метки в виде секунд с начала эпохи (00:00:00 1 января 1970 года). Скорее, время в системах Windows представляется как число интервалов в 100 наносекунд с начала 1601 года.