是否可以取得硬碟格式化時的時間戳記？

Question

這取決於您將其格式化為什麼。簡單地對磁碟進行分割區不會留下任何時間戳記。但是，當您對其進行格式化時，您將在給定分割區上建立一個新的檔案系統。是否記錄建立日期取決於特定的檔案系統。由於您沒有說明將其格式化為什麼檔案系統，因此我將回答 Windows、OSX 和 Linux 上最受歡迎的檔案系統。

Linux ext4

這是大多數主要 Linux 發行版都支援的現代檔案系統。它是最受歡迎的檔案系統之一。根據ext4 磁碟佈局，超級區塊包含一個 32 位元時間戳記，s_mkfs_time保存自建立檔案系統的紀元以來的秒數。若要取得 ext4 檔案系統的建立日期，您可以執行偵錯tune2fs以 root 身分執行命令，格式為tune2fs -l /dev/sda1，並將裝置替換為您要檢查的特定分割區。這會輸出很多調試資訊。尋找田野Filesystem created。

OS X HFS+

HFS+ 是 Mac OS X 和許多其他 Apple 裝置上的標準檔案系統。卷標頭包含createDate字段，指定卷首次建立的時間。雖然我對 OS X 不是特別熟悉，但快速搜尋顯示了一個名為hfsdebug。該命令將檔案系統磁碟區作為參數並輸出一堆偵錯資訊。查找字段createDate，它應該為您提供文件系統的創建日期。

視窗NTFS

NTFS 是大多數 Windows 電腦使用的檔案系統。文件系統的建立日期儲存在FILE_FS_VOLUME_INFORMATION。可以使用本機 Windows NT API 擷取此資料結構ZwQueryVolumeInformationFile()。根據一個超級用戶回答，沒有方便的實用程式來檢索此信息，但 SysInternalsprocmon實用程式可能允許您獲取此資訊。 A簡單的程式是為了回答超級用戶問題而創建的，這很有用。

與 Linux 和其他類 Unix 系統不同，Windows 不以自紀元（1970 年 1 月 1 日 00:00:00）以來的秒數形式儲存時間戳記。相反，Windows 系統上的時間表示為自 1601 年初以來的 100 奈秒間隔數。

Answer 1

這取決於您將其格式化為什麼。簡單地對磁碟進行分割區不會留下任何時間戳記。但是，當您對其進行格式化時，您將在給定分割區上建立一個新的檔案系統。是否記錄建立日期取決於特定的檔案系統。由於您沒有說明將其格式化為什麼檔案系統，因此我將回答 Windows、OSX 和 Linux 上最受歡迎的檔案系統。

Linux ext4

這是大多數主要 Linux 發行版都支援的現代檔案系統。它是最受歡迎的檔案系統之一。根據ext4 磁碟佈局，超級區塊包含一個 32 位元時間戳記，s_mkfs_time保存自建立檔案系統的紀元以來的秒數。若要取得 ext4 檔案系統的建立日期，您可以執行偵錯tune2fs以 root 身分執行命令，格式為tune2fs -l /dev/sda1，並將裝置替換為您要檢查的特定分割區。這會輸出很多調試資訊。尋找田野Filesystem created。

OS X HFS+

HFS+ 是 Mac OS X 和許多其他 Apple 裝置上的標準檔案系統。卷標頭包含createDate字段，指定卷首次建立的時間。雖然我對 OS X 不是特別熟悉，但快速搜尋顯示了一個名為hfsdebug。該命令將檔案系統磁碟區作為參數並輸出一堆偵錯資訊。查找字段createDate，它應該為您提供文件系統的創建日期。

視窗NTFS

NTFS 是大多數 Windows 電腦使用的檔案系統。文件系統的建立日期儲存在FILE_FS_VOLUME_INFORMATION。可以使用本機 Windows NT API 擷取此資料結構ZwQueryVolumeInformationFile()。根據一個超級用戶回答，沒有方便的實用程式來檢索此信息，但 SysInternalsprocmon實用程式可能允許您獲取此資訊。 A簡單的程式是為了回答超級用戶問題而創建的，這很有用。

與 Linux 和其他類 Unix 系統不同，Windows 不以自紀元（1970 年 1 月 1 日 00:00:00）以來的秒數形式儲存時間戳記。相反，Windows 系統上的時間表示為自 1601 年初以來的 100 奈秒間隔數。

是否可以取得硬碟格式化時的時間戳記？

答案1

Linux ext4

OS X HFS+

視窗NTFS

相關內容