Я понимаю, что есть 8 временных меток NTFS
http://www.governmentsecurity.org/forum/topic/30896-frustrating-ntfs-time-stamp-forensics/
Значения NTFS MACE (измененный, доступный, созданный и запись MFT). NTFS поставляется с 8 значениями отметок времени, 4 из которых находятся в атрибуте $ Standard_Information (SI), а остальные 4 - в атрибуте $ FILE_NAME (FN) записи MFT.
Как я могу отобразить все 8?
Эта команда может сделать это
MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Что касается того, как я знал параметры, то, делая MFTCRD, я сказал, что есть 4 параметра, и привел пример MFTRCRD C:\boot.ini -d indxdump=off 1024 -s так что вы можете изменить любое имя файла / путь.
C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37
Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........
$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
(обратите внимание, что аббревиатуры от MFTRCRD от ATime для модифицированных и других, таких как Rtime, выглядят действительно абсурдно, например, поиск в Rtime ничего не показывает. Таким образом, вы можете игнорировать сокращения, которые дает вам эта команда, и идти по описаниям. Но есть аббревиатуры, которые использует Linux (MAC) и Windows NTFS (MACE), которые я опишу ниже)
Linux не хранит время создания файла. (обновлено - некоторые современные файловые системы Linux делают, см. примечание в конце) Windows создает время создания.
Похоже, Linux имеет 3 раза. MAC время mtime atime ctime. В Linux ctime - это время изменения, а не время создания, а «измененное» время в linux отличается от изменяемого файла (время изменения). В Linux изменилось время, когда изменилась запись в файловой системе, например, когда / даже когда изменились права доступа к файлу, изменилось время ctime в Linux.
Windows NTFS использует MACE, а C в MACE - создание. E в MACE похоже на c в linux, т. Е. E в MACE - это изменяемая запись.
http://forensicswiki.org/wiki/MAC_times MAC times Термин «MAC-времена» относится к временным меткам последней модификации (mtime) или времени последней записи, доступа (atime) или изменения (ctime) определенного файла.
Unix-системы поддерживают историческую интерпретацию ctime как времени, когда в последний раз изменялись определенные метаданные файла, а не его содержимое, например права доступа или владельца файла (например, «Метаданные этого файла были изменены 05/05/02 12:15 вечера») ,
Системы Windows являются единственными системами, которые используют время рождения (btime) или время создания (crtime) (например, «Этот файл был создан 05/05/02 12:15 pm»). Следовательно, MACB; Модификация, доступ, изменение и рождение.
Дальнейший взгляд на Linux для контраста выгоден.
http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime
Распространенной ошибкой является то, что ctime - это время создания файла. Это не правильно, это время изменения inode/ файла. mtime - время изменения файла. Часто звучащий вопрос:«Что такое ctime, mtime и atime?».Это сбивает с толку, поэтому позвольте мне объяснить разницу между ctime, mtime и atime. CTime
ctime - это время изменения индекса или файла. Ctime обновляется при изменении атрибутов файла, например при смене владельца, изменении разрешения или перемещении файла в другую файловую систему, но также будет обновляться при изменении файла.
время изменения
mtime - время изменения файла. Mtime обновляется, когда вы изменяете файл. Всякий раз, когда вы обновляете содержимое файла или сохраняете файл, mtime обновляется.
В большинстве случаев ctime и mtime будут одинаковыми, если только не обновляются только атрибуты файла. В этом случае обновляется только ctime.
время
atime - время доступа к файлу. Время обновляется, когда вы открываете файл, а также когда файл используется для других операций, таких как grep, sort, cat, head, tail и так далее.
Cygwin может показать 4 метки времени, так же как и timestomp
c:\blah>timestomp a.a -v
Modified: Tuesday 9/15/2015 17:23:33
Accessed: Saturday 12/6/2014 4:49:51
Created: Saturday 12/6/2014 4:49:51
Entry Modified: Tuesday 9/15/2015 17:23:33
-
$ stat a.a
File: 'a.a'
Size: 45 Blocks: 4 IO Block: 65536 regular file
Device: b411d580h/3021067648d Inode: 102738366499454027 Links: 1
Access: (0070/----rwx---) Uid: ( 1000/ harvey) Gid: ( 513/ None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
Birth: 2014-12-06 03:49:51.714329000 +0000
Очевидно, setMACE похож на timestomp, но лучше. Тем не менее, я не вижу его с 8 временными метками. И в описании setMACE упоминается MFTCRD, который показывает временные метки.
Вы можете получить MFTRCRD здесь https://github.com/jschicht/MftRcrd
Github выглядит немного странно, не кликайте правой кнопкой мыши и не сохраняйте как, иначе это HTML-файл с расширением EXE. И когда вы пытаетесь запустить его на cmd, вы получаете ошибку на cmd о 64-битной и 32-битной. Попробуйте щелкнуть левой кнопкой мыши, затем на следующей странице будет загружен актуальный файл. И вам нужно находиться в командной строке администратора, в противном случае вы получите сообщение о том, доверяете ли вы программам от этого издателя, и если вы скажете «да», окно cmd вспыхнет и уйдет (и будет ли cmd /k или нет). Но он отлично работает из командной строки административного cmd.
ADDED
Некоторые современные файловые системы Linux хранят время создания файла. (может быть известен как crtime. Определенно не ctime, по причинам, указанным выше)
https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file