我注意到我的网络服务器 2008 Xen VM 逐渐失去了可用空间 – 比正常使用时要多,因此决定进行调查。
存在两个问题区域:
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
和
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
据我所知,这些是注册表更改的实时备份。如果是这样的话,我可能不明白为什么会有 10000 多个更改。(这就是每个文件夹位置的文件数量,每个文件夹总共超过 20,000 个。)
这些文件占用了近 15GB 的空间,我想删除它们,我只是想知道我是否可以删除它们。但是,我需要了解创建它们的原因,以便将来避免这种情况。
知道为什么会有这么多吗?有没有办法可以检查是什么导致了修改?
- 它们是通过登录尝试创建的吗?
- 它们的创建是否与日常 Web 服务器使用相关?
- 等等等等
答案1
它们不是注册表更改的备份,实际上,它们是注册表更改在成为注册表更改之前的状态。.tmp
本质上是一种注册表更改文件。
为了防止注册表损坏(这曾经是 Windows 中一个相当常见且非常严重的问题),当请求更改注册表时,较新版本的 Windows 会先将请求的更改写入文件,然后再执行任何操作。(对于用户配置单元中的更改,这些文件的形式为NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms
,并按顺序编号 - 回溯到足够远的地方,您应该会看到一个00000000000000000001
文件。)一旦 Windows 确定将更改写入注册表是“安全的”,它就会这样做,然后,它将验证是否已进行更改,此时它将删除该文件并转到其他操作系统任务。当此过程中的某个过程失败时,您最终会积累这些文件。
显然,就您而言,该过程中的某些部分无法正常工作。我敢打赌,如果您查看服务器,Event Logs
您会看到大量与此相关的错误,这些错误的形式是注册表被锁定或无法将更改写入注册表。(可能类似于Unable to open registry for writing
或Failed to update system registry
)。这些可能表明存在严重问题,也可能表明某些 PITA 程序每次启动时都想将更改写入注册表,但没有权限。
还有一种可能性较小,即更改已被写入,但文件无法被删除,如果文件上的锁定句柄未正确终止,或者具有SYSTEM
写入权限,但缺乏对这些文件夹位置的删除权限,就会发生这种情况。
对这些文件进行快速的 md5 求和(或类似操作)可能有助于追踪源头,以查看它们是否全部或大部分相同(这表明相同的更改无法一遍又一遍地写入注册表),或者是否存在大量变化,这更有可能表明存在严重问题 - 许多进程无法写入注册表,或者相关的用户配置文件已损坏。
分析完这些文件后,可以安全删除上次系统启动前创建的任何.blf
文件.regtrans-ms
。它们不可能(或不应该)被写入注册表,因此它们是垃圾。
至于究竟是什么创建了它们,你必须自己去追查,因为几乎任何东西都可能存在。每次访问网站时,网络代码中的某些内容都可能试图写入注册表更改,但由于缺乏权限而失败(我当然见过更愚蠢的事情);它们可能是由用户登录和随后试图写入注册表但缺乏权限的活动生成的;如前所述,它们甚至可能正在正常创建和执行,但由于某种原因无法按预期删除。
检查所有日志,特别是您的日志Event Logs
和 IIS 日志中是否存在与注册表相关的错误,以缩小错误范围并找出导致此问题的原因。
答案2
这些文件是在重新创建或初始化配置文件时创建的。它们也是麻烦的来源,因为它们是“签名的”,也就是说它们是常驻的,因此成为入侵者或黑客的攻击目标。
按照说明操作,RT-CLK 我的电脑,属性,选择“高级系统设置”,然后选择用户配置文件下的“设置”。您应该会看到所有配置文件的列表,即每个用户一个配置文件。
速度变慢总是会引来检查人员的注意,有时他们会忽略一些可能很重要的东西。在一台机器上,有一个名为“DefaultProfile”的配置文件,当然它是假的,已被删除。在另一台机器上,有一个名为“Default Profile”的配置文件,它也是假的。然而,后者不容易被删除。
这表明有人入侵了系统,并且正在逐渐加强,在第三台机器上,用户配置文件的大小达到 231GB(!!!),这使得启动成为一种无休止的等待体验。最终,这位忍耐的用户开始恼火,因为他一直在做的事情没有发生。
该计算机上的所有用户帐户(包括管理员)都已更改为家庭用户和/或访客。只需尝试从中获取提升的命令提示符即可!
因此,如果您删除用户配置文件,然后重新登录,则会使用 DefaultProfile 构建新配置文件,而在 Win10 中,这可以通过多年来让它看起来比 Windows Whatever 更好的“Hi”废话来证明。如果您登录然后查看 C:\Users\(无论什么)\Appdata\Local(用于隐藏文件),您将看到有问题的 REGTRANS-MS 文件,编号和零长度。
它们充满了变化,通常会导致对正在使用的文件的设置采取行动,这仍然是不允许的。会话完成后,将调用更改,文件中的数据将成为日志的内容,用于广告/跟踪和一系列只有 Microsoft 的“天才”才知道的事情。
干杯。