Как получить доступ к измененным метаданным метки времени файла

Question

Я понимаю, что метаданные метки времени файла NTFS включают следующее:

• созданный
• Accessed
• модифицированный

Эти данные доступны в пользовательском интерфейсе Windows Explorer и других местах.

Тем не менее, я считаю, что метаданные метки времени включают

• Изменено

Видимо, Измененная временная метка - это когда запись в основной файл файла была изменена (смотрите https://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/).

Как я могу получить доступ к этому значению?

Answer 1

Согласно моим выводам, поле «Изменение времени файла», также называемое меткой времени MFT, не извлекается с помощью стандартных функций API, которые возвращают только три стандартных времени создания, изменения и доступа.

Чтобы получить время изменения, вам нужно прочитать запись MFT файла и проанализировать ее самостоятельно.

Вы найдете пример сценария PowerShell, который извлекает все данные MFT в Technet:
Получить MFT (ChangeTime) временную метку файла.

Объяснение этого сценария автором находится в статье:
Нахождение метки времени MFT файла с помощью PowerShell.