Az időpecsétekkel foglalkozó bejegyzésben elég bőven tárgyaltuk az NTFS időpecsétek témakörét.
Ma viszont egy malware által fertőzött gép vizsgálata közben lett gyanús, hogy bár a gép folyamatosan használatban volt, a fájlok last accessed időpecsétjei az újabban létrehozott fájlok esetében nem különböznek a létrehozás időpontjától - annak ellenére, hogy én bizony kézzel beleírtam a reggel létrehozott kiscica.txt-be, hogy kutyus.
Kicsit utánajártam a jelenségnek, és egészen egyszerű magyarázatra leltem: a Windows Xp lehetőséget ad arra, hogy a registryben kikapcsoljuk a fájlok Last Accessed időpecsétjeinek frissítését. Hovatovább, ez a beállítás Vistában már alap - a magyarázat szerint elsősorban nagy mennyiségű, apró fájlok tömeges írásakor eredményezhetett jelentős overheadet az időpecsétek frissítgetése az oprendszer számára.
A kulcs egyébként itt van: HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate
Meglepő, mikbe botlik néha az ember, amikor vírust irt.
Feliratkozás:
Megjegyzések küldése (Atom)
Nincsenek megjegyzések:
Megjegyzés küldése
Kommentek