Jak wykryć usunięte cheaty? Journal i dziennik USN w praktyce
Scenariusz klasyczny: wzywasz gracza na SS, a on w panice usuwa cheat — myśląc, że po usunięciu pliku jest czysty. Nie jest. System plików NTFS prowadzi dziennik USN, który rejestruje każdą operację na plikach. Umiejętność jego odczytu to najmocniejsza broń przeciwko "czyściochom".
Jak działa dziennik USN?
USN (Update Sequence Number) Journal to mechanizm NTFS zapisujący metadane operacji: utworzenie pliku, zapis, zmianę nazwy, usunięcie — z dokładnym znacznikiem czasu. Nie zapisuje treści plików, ale do naszych celów wystarczy nazwa: wpis FILE_DELETE meteor-client.jar o 18:44:56 mówi wszystko, jeśli wezwanie na SS padło o 18:45:00.
Czego szukać podczas kontroli
- FILE_DELETE plików .jar w oknie kilku–kilkunastu minut przed wezwaniem — klasyka.
- RENAME — zmiana nazwy z podejrzanej na niewinną (np.
doomsday.jar → backup.zip). - Operacje w katalogach .minecraft/mods i folderach pobranych tuż przed SS.
- Seryjne usunięcia wielu plików w tej samej sekundzie — ślad self-destructa.
Korelacja czasowa — klucz do werdyktu
Pojedynczy wpis to poszlaka. Dowodem staje się w zestawieniu z osią czasu: wezwanie na SS → 4 sekundy później FILE_DELETE → 30 sekund później gracz udostępnia ekran. Taka sekwencja nie ma niewinnego wyjaśnienia. Dlatego zawsze zapisuj dokładny czas wezwania i porównuj go z wpisami dziennika oraz historią z Last Activity View.
CheckBetter to interaktywne kursy Process Hackera, Journala i Last Activity View — narzędzia odwzorowane 1:1, tryb nauki i test. Za darmo.
Zacznij treningPrzećwicz na symulatorze
Na CheckBetter znajdziesz interaktywny symulator Journala z realistycznymi scenariuszami: gracz czysty, gracz z usuniętym cheatem, self-destruct. Nauczysz się odróżniać niewinne operacje systemowe od śladów zacierania dowodów — zanim staniesz przed prawdziwym przypadkiem. Zacznij od kompletnego poradnika wykrywania cheatów.
Najczęstsze pytania
Czy opróżnienie kosza usuwa wpisy z dziennika USN?
Nie. Dziennik USN to oddzielna struktura systemu plików NTFS — rejestruje operacje na plikach niezależnie od kosza. Wpis o usunięciu pliku pozostaje nawet po opróżnieniu kosza i wyczyszczeniu historii.
Jak długo dziennik USN przechowuje wpisy?
Dziennik ma ograniczony rozmiar (zwykle 32 MB) i działa jak bufor cykliczny — najstarsze wpisy są nadpisywane. Na aktywnym dysku historia sięga od kilku godzin do kilku dni — wystarczająco, by przyłapać usunięcie cheata przed kontrolą.
Co to jest self-destruct w cheatach?
Funkcja samozniszczenia: jeden skrót klawiszowy usuwa plik cheata z dysku, czyści historię i zamyka proces. Self-destructy są skuteczne przeciwko przeszukiwaniu dysku, ale bezradne wobec dziennika USN — operacja usunięcia sama zostawia wpis.