win10某功能导致.eml文件修改时间被篡改
m24h2024/04/06原创 软件综合 IP:上海

我已许久不用.eml文件 以前邮件不多的时候 就喜欢全转储成.eml文件分类 现在都在邮件客户端管理了 一直没碰到什么问题

直到最近 因为NAS崩溃 重建中访问到老的.eml文件 然后对比发现其“修改时间”属性莫名发生变化 变成现在的时间 不过文件内容丝毫不变

众所周知 “修改时间”在文件管理中非常重要 决定了同步以及归档的取舍和方向 这个时间莫名被篡改 将引发非常严重的版本管理问题 甚至可以说是致命的 一同步可能就造成新文件反而被旧文件取代的过程

在系统繁忙的时候 我甚至亲眼目睹了这个修改时间被篡改的现象 在.eml文件刚刚解压过去的时候 显示时间还是2014年 马上就被莫名地修改成当下的时间 这真是叔能忍嫂子也不能忍了 我当时想 万一是什么病毒作怪那问题大了 万一不只是.eml文件受影响问题也大了


VID_20240406_082324.mp4 点击下载

我还在DOS提示符下进行解压 拷贝等测试 则不会发生这种情况 

对于大多数非.eml文件 即使在文件浏览器下解压拷贝等操作 也没有发生这种情况(当然我不可能测试所有后缀)

而有时候又发现这种情况并不一定会发生(后面明白了 是有些目录没有进行索引)

在网上我也发现了其他人也碰到过类似的问题

1.png 2.png

于是我用Procmon (Sysinternals套件里的) 来监视到底是谁动了我的.eml文件 结果发现在修改时间变化前后 SearchProtocolHost.exe在上串下跳

3.png

SearchProtocolHost.exe是windows进行索引的工具 于是我关闭了所有目录上的索引功能  

4.png

但Windows索引毕竟是一个重要的功能 能迅速寻找想要的文档 发生这么重大的特别针对.eml文件的问题委实不应该

我还禁用了"Windows Search"服务 

我曾经一度以为问题解决了 后来发现 只是反应变慢了 如果不动那个文件 时间就很长时间不会变 但是如果在文件上点个鼠标 修改时间还是会变 (原本基本修改时间会马上变)


VID_20240406_100234.mp4 点击下载

再用Procmon监视 完全只有Explorer.exe在使用这个文件 而且当鼠标右键点击后 行为对比上面的SearchProtocolHost.exe 也几乎一样 先全读了这个文件 然后又写了头4k

5.png

目前暂时没辙了 我估计问题出在真对.eml文件个更底层的东西上  explorer和search都在调用的某个东西上 现在还找不到地方

我的另一台电脑上 也有同样的问题 而那台电脑几乎是干净的 我只用它的远程桌面来访问主工作机

大家可以检查一下自己的系统 会不会遇到同样的情况 而且奇怪的是 .eml是软柿子么 它为啥专挑这个捏

刚刚反馈给了微软 希望有响应

[修改于 7个月19天前 - 2024/04/06 11:40:01]

来自:计算机科学 / 软件综合
10
4
已屏蔽 原因:{{ notice.reason }}已屏蔽
{{notice.noticeContent}}
~~空空如也
大仙
7个月19天前 IP:广东
930910

你是不是装了outlook?感觉微软会对一些特殊格式文件进行预览搞的。

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
m24h作者
7个月19天前 修改于 7个月19天前 IP:上海
930912
引用大仙发表于1楼的内容
你是不是装了outlook?感觉微软会对一些特殊格式文件进行预览搞的。

预览也不该修改文件啊 我没有用outlook 其中另一台也发生这现象的机器 几乎什么软件都没装 我只用远程桌面功能登录服务器用

你可否也试试看 将一个随便什么老文件压缩 直接在压缩包里改名xx.eml 再解压到个文件夹 右键随便点击一下 是不是修改时间也发生变化?

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
amo
7个月19天前 IP:广东
930917

excel也有问题,同一个文件,打开一次就会被改几个字节(文件打开后看不出任何异样),但是查看文件属性发现修改时间不变……

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
m24h作者
7个月19天前 IP:上海
930931
引用amo发表于3楼的内容
excel也有问题,同一个文件,打开一次就会被改几个字节(文件打开后看不出任何异样),但是查看文件属...

啊 我也遇到了 还以为是病毒什么呢

最近花了很长时间 对几十万个文件的2个备份进行一次对比 就发现两个问题 一是.eml文件修改时间被篡改 2就是.xls文件会被修改而修改时间不变 这都影响了我备份的策略 但幸好.eml文件不可能去编辑它 .xls文件可用内容没有变化

Screenshot_2024-04-06-19-55-21-788_com.x1015650506.eha-edit.jpg

而且我发现被改过的.xls文件 打开可能会有提示 默认不开启编辑 提示有可能有病毒之类 而原版的不会 如果是excel自己操作的 这软件有点精分了 会不会excel某个部件有总设计上未期待的动作?关于这一点我也只是存疑 毕竟只是一个印象 因为篡改后的文件我直接复原了 而且这个现象似乎不一定会发生 我看看哪还能弄到样本再测试一下

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
m24h作者
7个月19天前 修改于 7个月19天前 IP:上海
930932
引用amo发表于3楼的内容
excel也有问题,同一个文件,打开一次就会被改几个字节(文件打开后看不出任何异样),但是查看文件属...

我实验了一下 无论office 2019还是2021 都确实有这问题 而且可以每次复现 我遇到的"提示非编辑模式"倒是暂时还不知道怎么复现 老文件都提示"兼容模式"

修改地方有两处 一处可能是编辑者或查看者的名称 另一处在后面 不知道是什么意思

这两个问题都打破了修改时间的定义和规矩  而且后者在不通知保存的情况下修改文件 而且肯定是绕过了自己系统的常规文件存取接口 就是后门行为 太不地道了

6.png

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
amo
7个月19天前 IP:广东
930935
引用m24h发表于5楼的内容
我实验了一下 无论office 2019还是2021 都确实有这问题 而且可以每次复现 我遇到的"提...

我这边测试2003、2007都有这个问题。

把excel文件属性设为“只读”也照样会被修改。估计是跟后门有关……我不相信这是bug。


引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
mfweb
7个月19天前 IP:山东
930937

这个问题09年以前甚至更早就存在
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX/en-us/windows/forum/all/why-do-eml-files-modified-date-change-on-mouseover/d6b92680-9200-4731-932f-b45c0c8187dd

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
mfweb
7个月19天前 IP:山东
930938
引用mfweb发表于7楼的内容
这个问题09年以前甚至更早就存在XXXXXXXXXXXXXXXXXXXXXXXXXXXXX/en-u...

这里有更详细的解释
XXXXXXXXXXXXXXXXXXXXXXXXXXXXX/en-us/windows/forum/all/windows-10-bug-needs-fixing-now/24cc4640-4831-4bb7-b4c3-906fe87f5e23?page=2

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
m24h作者
7个月19天前 IP:上海
930941
引用mfweb发表于8楼的内容
这里有更详细的解释XXXXXXXXXXXXXXXXXXXXXXXXXXXXX/en-us/windo...

就是这个了!!! 

谢谢楼上的

btriffles对ADS问题的说明完全解释了这一切 微软win10看到.eml文件 知道是邮件 就弄了个附加流 可能就是那个:OECustumProperty 然后导致了修改时间的变化 这应该在非常底层的

我应该也去跟随一下 都8年了没改变 Windows-Feedback:?contextid=395&feedbackid=70332d97-de20-4a81-aeb7-c40e8293b163&form=1&src=2

7.png


引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
m24h作者
7个月17天前 IP:上海
931026

还发现Foxmail的数据文件 尤其是索引和缓存相关的 也会出现修改过 但修改时间不变的情况 以前对此我是增量备份 现在改成对它的目录全备份了

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

所属专业
所属分类
上级专业
同级专业
m24h
进士 学者 机友
文章
52
回复
893
学术分
1
2020/01/22注册,6时57分前活动

个人开源项目: XXXXXXXXXXXXXX

主体类型:个人
所属领域:无
认证方式:手机号
IP归属地:上海
文件下载
加载中...
{{errorInfo}}
{{downloadWarning}}
你在 {{downloadTime}} 下载过当前文件。
文件名称:{{resource.defaultFile.name}}
下载次数:{{resource.hits}}
上传用户:{{uploader.username}}
所需积分:{{costScores}},{{holdScores}}下载当前附件免费{{description}}
积分不足,去充值
文件已丢失

当前账号的附件下载数量限制如下:
时段 个数
{{f.startingTime}}点 - {{f.endTime}}点 {{f.fileCount}}
视频暂不能访问,请登录试试
仅供内部学术交流或培训使用,请先保存到本地。本内容不代表科创观点,未经原作者同意,请勿转载。
音频暂不能访问,请登录试试
支持的图片格式:jpg, jpeg, png
插入公式
评论控制
加载中...
文号:{{pid}}
投诉或举报
加载中...
{{tip}}
请选择违规类型:
{{reason.type}}

空空如也

加载中...
详情
详情
推送到专栏从专栏移除
设为匿名取消匿名
查看作者
回复
只看作者
加入收藏取消收藏
收藏
取消收藏
折叠回复
置顶取消置顶
评学术分
鼓励
设为精选取消精选
管理提醒
编辑
通过审核
评论控制
退修或删除
历史版本
违规记录
投诉或举报
加入黑名单移除黑名单
查看IP
{{format('YYYY/MM/DD HH:mm:ss', toc)}}