NTFS ohne USN Journal anlegen

Design Patterns, Erklärungen zu Algorithmen, Optimierung, Softwarearchitektur
Forumsregeln
Wenn das Problem mit einer Programmiersprache direkt zusammenhängt, bitte HIER posten.
Antworten
Benutzeravatar
Krishty
Establishment
Beiträge: 8229
Registriert: 26.02.2009, 11:18
Benutzertext: state is the enemy
Kontaktdaten:

NTFS ohne USN Journal anlegen

Beitrag von Krishty »

Aaaalso … ein wenig bekanntes Feature von NTFS ist das USN Journalling.

Das „normale“ Journalling (in $LogFile) sorgt ja dafür, dass die Partition etwa nach einem Stromausfall oder einer Kabelstörung während einer Dateioperation den Ursprungszustand wiederherstellen kann ohne dass das Dateisystem zerschossen wird. Man kann es nicht abschalten.

Das USN Journal ist hingegen dafür zuständig, dem Journalling fortlaufende IDs zur Verfügung zu stellen, und die Operationen zu speichern. Dies vereinfacht Volumenschattenkopie oder Antivirenprogrammen (Dateiänderungen können über das USN Journal eingesehen und verfolgt werden).

Nun wird dieses Journal dummerweise ziemlich groß. (Die Leute munkeln mal von einem, mal von 3,5 GiB. Bei einem relativ frischen Windows 7 sind es bei mir um die 300 MiB; die Größenordnung dürfte also stimmen.) Und dummerweise bedeutet es zusätzliche Schreiboperationen, die z.B. Flash-Speicher nicht mag. Und Paranoiker stören sich an dem forensischen Wert (eine Tabelle von allem, was man je auf dem Volume gemacht hat). Wer mich kennt, ahnt schon, dass ich es hasse.

Wenn das USN Journal einmal existiert, kann man es nicht löschen. Man kann es nur leeren und den Zähler auf 0 zurücksetzen. Danach beginnt alles von vorn.

Nun zu des Pudels Kern: Einige meiner Partitionen führen kein USN Journal, und das finde ich gut. (fsutil usn enumdata 1 0 1 X: zeigt nur die NTFS-Standarddateien an.) Wenn ich jedoch mit Windows 7 eine neue Partition anlege und formatiere, existiert immer ein Journal (alle neuen Dateien landen sofort darin).

Wie kriege ich es hin, dass das Journalling auf einer neuen Partition deaktiviert ist?

Ich habe die Vermutung, dass der Allow files on this drive to have contents indexed in addition to file properties-Schalter bewirkt, dass Windows ein USN Journal anlegt, sobald der Explorer drauf zugreift. Dummerweise erzwingt format.com in Windows 7 diesen Schalter; und wenn man ihn deaktiviert, scheint es schon zu spät zu sein.

Ich wäre für diesen einen Zweck ja sogar zu FAT32 zurückgegangen (habe auf vielen Volumes nur kleine Dateien), aber das kann kein Unicode.

Ich habe auch versucht, format.com aus Windows XP rüberzuholen. Aber auf meinem 64-Bit-System funktioniert es nicht.

Es gibt wohl auch nicht viele andere Tools zum Formatieren da draußen (NTFS ist ja nicht gerade einfach). Bevor ich jetzt eine Linux-Live-CD sauge und dafür meinen USB-Stick formatiere (mit zweifelhaftem Erfolg, weil wohl kein Tool der Welt erlaubt, einzelne Dateisystem-Features ein- und auszuschalten), wollte ich fragen, ob jemand einen einfachen Weg kennt, auf das USN Journal zu verzichten?

Gruß, Ky
seziert Ace Combat, Driver, und S.T.A.L.K.E.R.   —   rendert Sterne
Benutzeravatar
Krishty
Establishment
Beiträge: 8229
Registriert: 26.02.2009, 11:18
Benutzertext: state is the enemy
Kontaktdaten:

Re: NTFS ohne USN Journal anlegen

Beitrag von Krishty »

Hmmmm. Die Volumes ohne Journal waren TrueCrypt-Container. Ich hatte ja schon fast Hoffnung, dass die ihren eigenen NTFS-Treiber geschrieben hätten, der nicht loggt – aber wenn man das fast leere USN Journal dort einmal löscht, wird ein komplett neues angelegt, mit allen Dateien drin. Scheiße.

P.S.: So lange wie ich hier nichts habe, was das Journal benutzt, sehe ich das als Speicherleck an. Damit ist es schon das zweite NTFS-Speicherleck neben den Kernel Transactions, die nie aufgeräumt werden. Unglaublich.
seziert Ace Combat, Driver, und S.T.A.L.K.E.R.   —   rendert Sterne
Antworten