修改 NTFS 權限會改變檔案修改日期嗎?

修改 NTFS 權限、變更檔名會改變檔案修改日期嗎?

這問題乍聽之下無關緊要,在射茶包過程卻可能是左右偵辦方向的關鍵,有追究到底的必要。

今天遇到一起案例。同事報案,某個運行多時的網站忽然故障,由錯誤訊息懷疑是系統無法從設定檔讀取連線字串,但檢查過「設定檔沒有被修改的痕跡」,格外離奇。注意到了嗎?(謎:你都加了「」,要不注意很難吧?)一般我們判斷檔案是否被修改,主要會依據檔案修改日期,而這裡隱藏了一個假設 - 檔案只要被更動修改,就一定會反映在檔案修改日期上。

事實不然,例如這次的網站故障,最後查出來是 AppPool 身分對設定檔的 NTFS 讀取權限被移除造成的,而該設定檔的最後修改日期與去年上線時間吻合,差點被當成不在場證明讓犯人逍遙法外。

為求加深印象,我做了以下實驗:證明修改 NTFS 權限及檔案更名都不會改變檔案的最後修改時間(一直是下午 09:04:23)。

補充:除了修改權限、檔案更名不會改變檔案修改日期,檔案修改日期可透過 Windows API 修改,而複製或解壓縮覆寫檔案時也可能被置換成來源檔的修改時間。故在判斷檔案是否有異動時,不宜單依修改日期做判斷。

歡迎推文分享:
Published 11 July 2018 11:04 PM 由 Jeffrey
Filed under:
Views: 1,356



意見

沒有意見

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<July 2018>
SunMonTueWedThuFriSat
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234
 
RSS
創用 CC 授權條款
【廣告】
twMVC

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication