É possível determinar quando uma partição NTFS foi criada?

Sim. Você pode até fazer isso em uma LAN.

A transação CIFS é TRANS2_QFSINFO e o nível de informações é SMB_QUERY_FS_VOLUME_INFO . A função de API nativa do Windows NT para consultar o tempo de criação de um volume é ZwQueryVolumeInformationFile() , que produz um FILE_FS_VOLUME_INFORMATION estrutura de dados (quase idêntica à CIFS, nota) quando solicitada a classe FileFsVolumeInformation de informação. Testar que essa consulta funciona é parte do testador do IFS que a Microsoft fornece aos desenvolvedores de drivers.

Curiosamente, ninguém parece ter escrito um utilitário útil que apenas consulta um volume e imprime seu timestamp de criação em formato legível. ¹ Quanto mais próximo você chegar, mais O que podemos dizer é o aumento da ferramenta procmon da SysInternals e a procura das consultas de informação de volume transmitidas. Talvez alguém que esteja lendo isso seja inspirado para criar um comando vol aprimorado.

Sim, o registro de data e hora de criação de volume é corretamente inicializado e não está definido apenas como zero ou alguma outra constante. Eu não verifiquei, mas minha estimativa para o local de armazenamento dessas informações é o atributo $STANDARD_INFORMATION da entrada $Volume MFT. Eu posso pensar em três outros lugares possíveis, mas esse é o mais lógico.

¹ grawity só precisa de um pouco mais de refinamento, incluindo usos simples de FileTimeToSystemTime() e GetTimeFormat() , para torná-lo útil para usuários finais que não podem decodificar timestamps Win32 em suas cabeças. ☺

Não há "data de criação de volume" que conheço do built-in para NTFS. No entanto, você deve ser capaz de aproximar a data de criação observando a data de criação do diretório System Volume Information na raiz do volume.

Isso está exposto em algum lugar. Se você inicializar um CD do Windows XP e acessar o console de recuperação, a versão do chkdsk imprimirá a data de criação do volume após a conclusão da execução.