Total Commander Forum Index Total Commander
Форум поддержки пользователей Total Commander
Сайты: Все о Total Commander | Totalcmd.net | Ghisler.com | RU.TCKB
 
 RulesRules   SearchSearch   FAQFAQ   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

Single Post  Topic: Странности, в том числе в работе ТС 
Author Message
CaptainFlint
PostPosted: Mon Oct 03, 2016 19:08    Post subject: Reply with quote
Вахмурка wrote:
Знатоки, а по описанию - это зараза или просто глюк винды?

Очень уж мало информации. Если содержимое файлов не меняется, то, скорее всего либо ось, либо какая прога шурует. Скажем, поисковик зачем-то обновляет дату "тронутых" файлов при индексации. Или фоновый антивирь. Скажем, Касперыч одно время писал пометки о проверенности в доп. потоки файлов на NTFS (не знаю, правда, приводит ли это к обновлению даты/времени).

Но может быть и зараза — тот же шифровщик, который в фоновом режиме (чтобы не было заметно) потихоньку кодирует всё, до чего дотягивается, а пока не закончил, если кто обращается к файлу — перехватывает ввод-вывод и выдаёт расшифрованное содержимое (чтоб раньше времени его не обнаружили и дали время зашифровать всё до конца).

Последний сценарий легко проверить, перезагрузившись в какую-нибудь Live-систему (желательно вообще линуховую) и посмотрев содержимое файлов, которые вот так недавно оказались помечены как новые.

Но я присоединяюсь к предложению попроцессмониторить это дело, но тут да, к нему надо немного притереться, чтобы найти взаимопонимание. Я бы поступил так: запустить на дефолтном фильтре (когда сыпется бешеный поток), из событийных категорий оставить только файловую систему (сеть, реестр, потоки — нафиг). Дальше — гулять по файловой системе, пока не обнаружишь файл, который ну вот прям гарантированно на момент запуска ProcMon'а был старым, а тут раз, и стал новым. Дальше стопаем отлавливание событий в ProcMon'е и врубаем фильтр на конкретно этот файл. Дальше — смотреть, чего вообще осталось, и выискивать там запросы на модификацию даты/времени (можно выложить сюда). Я не совсем понял, что именно ты делал, чтобы получить тот лог, что выше, но если в точности то же, что я описал, то это офигительно странно, запросов на смену даты/времени там нет. Есть получение даты/времени (QueryBasicInformationFile), в крайнем случае можно будет проследить, действительно ли оно менялось, и если да, то какие именно из трёх таймштампов модифицировались.

Кстати, да, хороший вопрос: по какому из атрибутов у тебя подсветка? Надеюсь, не таймштамп последнего обращения? Smile
_________________
Почему же, ё-моё, ты нигде не пишешь "ё"?
View user's profile Send private message Visit poster's website


Powered by phpBB © 2001, 2005 phpBB Group