Событие windows изменение времени
Обновлено: 02.07.2024
Изменение даты создания папки и изменение MAC-адреса
Ребята всем привет. Нужна ваша помощь. Пишу bat для одной операции и столкнулся с проблемой что.
Определение события
Добрый день, подскажите пожалуйста, господа программисты, что за сигнал когда берем окно на экране.
Определение события
Здравствуйте! Имеется вопрос: m1: in al,0 out 0,al jmp m1 При нажатой кнопке в.
чуть-чуть поправил и , вроде все ок
меня сбила с толку одна вещь, дело в том, что я запускал программу CTRL+F5, после чего высвечивалось "Для продолжения нажмите любую клавишу"
Но я-то знаю (из C++), что это не конец программы!
А тут, оказывается, конец. Буду знать!
Я не понял.
99% что по запуску CTRL+F5 происходит вызов system ("pause")- (как бы странно это ни звучало), даже если он и не прописан в коде; и надпись "Для продолжения нажмите любую клавишу"- тому подтверждение.
Весь вопрос, куда этот вызов запихан. Я думал он запихан компилятором в тело программы- в самый конец, перед закрывающей фигурной скобкой. А иначе смысл мне любоваться на эту надпись, если программа УЖЕ ЗАКОНЧИЛАСЬ?
Оказывается, какой-то сакральный смысл есть. Когда-нибудь пойму, может.
В батч-файл, который студия за кулисами создает для консольного приложения, запущенного через ctrl+F5.А иначе смысл мне любоваться на эту надпись, если программа УЖЕ ЗАКОНЧИЛАСЬ?
Оказывается, какой-то сакральный смысл есть. Когда-нибудь пойму, может. Это троллинг или вы действительно не знаете?
При запуске консольного приложения сначала запускается командная строка и в ней выполняется программа. Когда программа завершает работу, командная строка тоже схлапывается, т.к. свою задачу выполнила.
В результате человек видит мелькнувший черный экран и бежит на форум спрашивать, почему так происходит.
Зачем они так делают, я знаю, чтобы окошко было. Я не понимаю другого- зачем надо чтобы окошко БЫЛО? Какую благую цель МОГУТ преследовать создатели сего функционала?
Только одну, на мой взгляд- чтобы человеку в случае написания им "Hello, word!" (в скобках замечу, что случаи, подобные моим не предполагают каких-либо надписей, но чёрт с ним) было удобно работать и чтобы он на форум не бежал.
А тогда на форум прибежит другой человек, например я. С противоположным вопросом. Что я и сделал. То на то и вышло. Так что удобство это мнимое, до поры до времени. Которая, кстати, настала уже, и вот я здесь с этим вопросом- я ждал, что окно захлопнется, а оно видишь как- не захлапывается!
Про то, что ожидаемый мной эффект виден сплошь и рядом в:
Некоторые других плохих IDE , жмёшь на F9, мелькает окошко и всё.
При запуске консольного приложения мышкой.
Я умолчу благоразумно.
Также умолчу про то, что обучение всё-таки предполагает обучение правильному. Правильное, это когда чё написано, то и выполняется. И всё.
Изменить системное время, сделать что-нибудь этакое нехорошее и вернуть прежнюю дату — ну чем не способ ввести в заблуждение администратора, только вот мало кто из шутников понимает, что подобные ухищрения им не помогут. Хотя бы потому, что установить факт изменения системного времени в Windows можно за пару минут. Изменение системного времени считается настолько важным событием, что заносится в раздел журнала событий «Безопасность».
Предположим, что на ПК было изменено, а затем восстановлено системное время.
Установим факт вмешательства.
Открываем командой eventvwr.msc журнал событий, переключаемся в раздел Журналы Windows -> Безопасность.
И отфильтровываем события по коду 4616 .
Если у вас включена автоматическая синхронизация времени, список может оказаться довольно длинным, поэтому есть смысл также выставить фильтр по дате, например, изменения за последние семь дней.
Отличить изменения, внесенные системой от изменений, внесенных пользователем просто — в первом случае инициатором события будет СИСТЕМА или LOCAL SERVICE.
А во втором будет указано имя локального пользователя.
Выявить факт манипуляций с системным временем можно также с помощью программы Event Log Explorer.
Открыв программой журнал событий, мы отсортировали записи по их порядковому номеру, а затем просмотрели записи столбцов «Data» и «Time».
Расхождение между порядковыми номерами и датой события в данном примере очевидны: событие с номером 15579 произошло в 12.44.45, а следующее событие с номером 15580 — в 6.44.49. Кстати, при сортировке событий по дате и времени тоже можно обнаружить следы изменения системного времени. В этом случае порядок номеров событий будет грубо нарушен, например, среди событий с порядковыми номерами в диапазоне 5000-5500 окажутся события с порядковыми номерами плюс/минус 7000.
Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.
О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.
Контроллеры доменов
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Event Id — Описание
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему
Как видно из названия, время окон меняется в случайное время со случайными величинами. Иногда это происходит каждую минуту, иногда это хорошо часами. Если я нажму синхронизировать с интернет-временем, оно обновится до нужного времени.
Вещи, которые я прочитал / проверил
- Отключить / включить интернет-синхронизацию времени . Нет помощи.
- Отключить / включить службу времени Windows . Нет помощи.
- Батарея CMOS разряжена . Нет, это не мертвый. Изменения времени также случаются, когда окна работают.
- Ваше время маршрутизатора / модема неверно и влияет на время Windows . Нет, это не так.
- Ваш часовой пояс настроен неправильно . Нет, это UTC + 0 Лондон
- У вас двойная загрузка в Hackintosh / Linux . Не только Win 7 работает на этом ПК.
- У вас хитрый разгон . У меня был высокий профиль OC, но я пытался работать на стандартных скоростях без посторонней помощи.
- Вирус / Троян . Я очень сомневаюсь в этом. Это очень простая установка Windows для игр. Установлены только окна и игры со Steam.
Обновить
Я могу подтвердить, что эта проблема не существует, когда я запускаю окна в безопасном режиме. Я проверил это, загрузившись в безопасном режиме. После загрузки я исправил время вручную и оставил компьютер включенным на пару часов, а время не изменилось.
Обновление 2
Я не знаю, как я пропустил эту деталь (или на самом деле, если это поможет), но время сбрасывается на «это» точное время. Это точное время, являющееся первым обновленным временем.
- Я загружаю компьютер, и через некоторое время он сбрасывается (скажем так) 09:33:27
- а-) Я исправляю время, оставляю его на время, и оно возвращается к 09:33:27.
- б) Я оставляю его включенным в течение некоторого времени, и через некоторое время он сбрасывается до 09:33:27 (очень случайный период, я не вижу здесь никакой картины, как ежечасно / каждые 17 минут или что-либо еще)
- Это происходит независимо от того, меняю время или нет.
- После следующей загрузки (на следующий день?) Он выбирает другое время для сброса
Подробнее
Вот скриншот из просмотра событий, об изменении времени. Имейте в виду, что этот снимок экрана сделан, когда служба Windows Time отключена.
Скриншот свойств события:
Снимок экрана и его детали подразумевают, что Windows действительно думает, что это правильное время, и чувствует необходимость его обновления. Хотя ни одна служба Windows не активирована, чтобы разрешить это.
Обновление 3 Проблема и решение
Проблема, видимо, была не в Windows или любом другом программном обеспечении, пытающемся обновить время.
Прочитав дамп системной памяти в течение часа, я обнаружил, что Windows не может прочитать RTC с материнской платы. После того, как какое-то время не удалось прочитать состояние RTC, Windows считает, что неправильно рассчитывает время, и возвращается к последнему известному состоянию RTC.
Я понятия не имею, почему это не происходит в «Безопасном режиме», и успешное выполнение Windows в безопасном режиме приводит меня к совершенно неправильному маршруту (Поиск ошибки в программном обеспечении вместо аппаратного). Источником ошибки был системный BIOS (или UEFI в мой случай) не работает вообще после System POST и загрузки. Простой поиск в Google по этому вопросу, и, по-видимому, это действительно распространенная проблема с большинством плат UEFI (я сам использую плату Asus-ROG)
Рекомендуемое решение: прошить свой UEFI и сбросить CMOS в режиме ожидания. Поскольку я знал, что уже использую последнюю версию UEFI, просто сброс CMOS в режиме ожидания сработал для меня. Теперь все работает без проблем.
Спасибо за все комментарии и извините за вводящую в заблуждение информацию о проблеме, но я оставлю всю информацию, размещенную выше, в надежде, что это может кто-то другой.
Читайте также: