NTFS的忠实秘书—USN日志
最近,在江湖中出现了一匹黑马,名为Everything,用它搜索东西转瞬即可搞定,甚至你连眼睛还来不及眨一下。它真的有这么神吗?来试一下便知,进入http://www.voidtools.com/下载安装后,如图1所示,在搜索栏输入关键词后,马上就会出现搜索结果。
点击“Search”(查找)可以定义查找结果的范围,包括“在结果中查找”、“关键词包含路径”等。
Everything为什么能这么快?1分钟可以索引100万个文件?对于几百G的硬盘上的几十万多个文件,建立索引需要的时间也只有几秒。其实Everything并没有全部逐一扫描我们硬盘上的文件,而是通过读取NTFS文件系统中的USN日志来完成的。
系统日志:电脑生活好管家
USN是系统日志的一部分,我们就先来了解一下什么是日志系统吧。按照系统类型进行区分的话,日志系统可以分为操作系统日志、应用系统日志、安全系统日志等等。在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。它是电脑系统的好管家,可以记录下系统所产生的所有行为,并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错,优化系统的性能,或者根据这些信息调整系统的行为。
在安全领域,日志系统的重要地位尤甚,可以说是安全审计方面最主要的工具之一。简单地说,日志和我们平时所做的日记是差不多,都是把自己一些信息记录下来,方便以后查看。举个例子,有一天,你发现你这个月的存款少了1万块,这时你实在想不起来这钱到底花在哪了,不过还好,你有记录花销的日志系统(就是你以前所有的收入和消费都做了详细的记录),翻开日志,查看一下,就知道这钱到底去哪了。日志系统还有一个好处,那就是在非法重启后,不会像FAT32那样需要整理硬盘,因为之前的操作都已经记录在案了。
话历史:NTFS何时招的秘书?
USN是Update Service Number Journal or Change Journal的英文缩写,直译为“更新序列号”,是对NTFS卷里所修改过的信息进行相关记录的功能。当年微软发布Windows 2000时,建立NTFS 5.0的同时,加入了一些新功能和改进了旧版本的文件系统,为它请来了一位可靠的秘书,它可以在分区中设置监视更改的文件和目录的数量,记录下监视对象修改时间和修改内容。没错,它就是USN日志。当这个功能启用时,对于每一个NTFS卷,当发生有关添加、删除和修改文件的信息时,NTFS都使用USN日志记录下来。
真高效!探访秘书的工作
NTFS秘书——USN日志的工作方式,相对来说很简单,所以非常的高效。它开始的时候是一个空文件,包括NTFS每个卷的信息。每当NTFS卷有改变的时候,所改变的信息会马上被添加到这个文件里。这其中,每条修改的记录都使用特定符号来标识为日志形式,也就是USN日志。每条日志,记录了包括文件名、文件信息做出的改变。怎样在系统中让秘书开始干活儿呢?如图2所示,在NTFS分区的图标上右击选择“属性”,勾选圈中部分即可。
忠诚的秘书只为NTFS效劳
USN秘书不仅工作高效,而且非常的忠诚,虽然这种忠诚看起来有点迫不得已。日志里包括发生了什么变化(添加、删除或其他操作),但并不会记录数据或其他变化的细节,所以它只能工作在NTFS文件系统中。
看到上面的描述,你也许还是比较难以理解,那么就举个例子说明一下。USN日志为什么不能在FAT32文件系统下运用呢?就像钢笔不能在宣纸上记录,只能在普通纸上记录一样。USN日志相当于一本书的索引,当然书里面内容发生添加、修改或删除的时候,USN日志会记录下来何时做了修改,并使用特定序列号来标识,但它并不会记录里面具体修改了什么东西,所以索引文件很小。而当你想查找某一篇文章时,你就不用一页一页去翻书,可以直接通过查找USN日志(也就是建立的索引)就知道这篇文章是否存在。
NTFS的忠实秘书—USN日志相关推荐
- NTFS文件系统USN日志
USN是Update Service Number Journal or Change Journal的英文缩写,直译为"更新序列号",是对NTFS卷里所修改过的信息进行相关记录的 ...
- Everything研究之读取NTFS下的USN日志文件(1)
转自:http://univasity.iteye.com/blog/805234 http://univasity.iteye.com/blog/805235 我在第一次使用 Everything ...
- NTFS下的USN日志文件研究
Fsutil usn USN Journal 相当于 NTFS 的秘书,为他记录下改动的一切,并储存为 USN_RECORD 的格式. 更多的介绍请看以下链接: MSDN里关于Fsutil usn的介 ...
- NTFS下的USN日志文件
Advanced $UsnJrnl Forensics http://forensicinsight.org/wp-content/uploads/2013/07/F-INSIGHT-Advanced ...
- Everything研究之读取NTFS下的USN日志文件(2)
原文地址:http://univasity.iteye.com/blog/805235 续>> /****************************************** 20 ...
- NTFS Change Journal(USN Journal)详解
写在前面 最近又用了一下usn日志来获取所有文件列表,在分多次加载文件列表的时候发现有文件丢失的情况,后来发现一篇文章比较详细的讲了usn. 用cmd来读取usn日志 如图: 以下是转载内容: 还是那 ...
- C++ USN日志 相关的代码
例子一: TestApp.cpp #include <set> #include "USNMethod.h"using namespace std;int main() ...
- 数字取证二 熟练掌握鉴证大师 了解NTFS分析、LogFile文件使用和USN日志分析
任务一 选择Z01.Peter.e01镜像: 练习一:分析JMXM021-技术资料-客户名单.lnk文件,该文件被拷贝后,是否被编辑过? 练习二:分析JMXM021-技术资料-文档.lnk文件. ...
- 文件搜索工具—everything,相关原理
最近由高手介绍一个新的搜索软件,果然高效的工具带来高效的工作,特地了解了下其实现原理 一,介绍 名称:Everything 类别:硬盘搜索 语言:多语言(包括中文) 官网:[url]http://xb ...
最新文章
- 异形隔离java剧情_异形隔离攻略 系统上手教程 全剧情流程图文攻略(41)
- 使用NGUINGUI的相关介绍
- openCV3学习笔记一,图像的加载,修改,保存
- G. GCD Festival(莫比乌斯、欧拉函数)
- TensorFlow深度学习应用开发实战(深度学习简介和开发环境搭建)
- linux下qq怎么截图,ubuntu 12.04使用QQ截图安装教程
- 【具体数学--读书笔记】1.1 The Power of Hanoi
- gettid()和pthread_self()的区别
- 【报告分享】2019双11洞察报告资料包(含6大权威报告下载链接)
- nginx实现动态分离,解决css和js等图片加载问题
- [每日一题]10、一道关于九宫格的面试题
- 什么是自行车码表?自行车码表工作原理?自行车码表安装设置?
- PMP-五大项目管理过程组
- The following packages have unmet dependencies
- ubuntu 16.04 deepin.com.wechat 微信登录提示版本过低解决方案
- 【工程/物理光学(二)——几何光学基础与光的成像】
- 自动查券找券搜券返利机器人实现方法分享
- 分解质因数Java实现
- HTTP响应头使用X-Content-Options、X-XSS-Protection、X-Frame-Options
- 【tio-websocket】6、tio-websocket-server使用ByteBuffer收发消息