8 つの NTFS タイムスタンプをすべて表示するにはどうすればよいですか?

このコマンドはそれを実行できます

MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

パラメータをどうやって知ったかというと、MFTCRD を実行すると 4 つのパラメータがあり、MFTRCRD C:\boot.ini -d indxdump=off 1024 -s ファイル名やパスに応じて変更できる例が示されます。

C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37

Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........

$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335

(MFTRCRD の ATime の修正版や Rtime などの略語は、非常に不合理に見えます。たとえば、Rtime を Google で検索しても何も表示されません。そのため、そのコマンドで表示される略語は無視して、説明に従ってください。ただし、Linux で使用される略語 (MAC) と Windows NTFS で使用される略語 (MACE) があり、これについては以下で説明します)

Linux はファイルが作成された時刻を保存しません。(更新 - 一部の最近の Linux ファイル システムでは保存されます。末尾の注記を参照してください) Windows は作成時刻を保存します。

Linux には 3 つの時間があるようです。MAC 時間、mtime、atime、ctime です。Linux では、ctime は作成時間ではなく変更時間であり、Linux での「変更」時間は、ファイルが変更されたとき (変更時間) とは異なります。Linux での変更時間は、ファイル システム内のエントリが変更されたときです。たとえば、ファイルのアクセス許可が変更されたとき、Linux の ctime が変更されます。

Windows NTFS は MACE を使用し、MACE の C は作成を意味します。MACE の E は Linux の c に似ているようです。つまり、MACE の E は変更されるエントリを意味します。

http://forensicswiki.org/wiki/MAC_timesMAC 時間 MAC 時間という用語は、特定のファイルの最新の変更 (mtime) または最終書き込み時間、アクセス (atime) または変更 (ctime) のタイムスタンプを指します。

Unix システムでは、ファイルの権限や所有者など、ファイルの内容ではなく特定のファイル メタデータが最後に変更された時刻として ctime の歴史的な解釈が維持されています (例: 「このファイルのメタデータは 05/05/02 12:15pm に変更されました」)。

Windows システムは、誕生 (btime) または作成 (crtime) 時刻 (例: 「このファイルは 05/05/02 12:15pm に作成されました」) を使用する唯一のシステムです。したがって、MACB は、Modification (変更)、Access (アクセス)、Change (変更)、Birth (誕生) を意味します。

対比のために Linux をさらに調べることは有益です。

http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime

よくある間違いは、ctime がファイル作成時刻であるということです。これは正しくありません。これは inode/ファイルの変更時刻です。mtime はファイルの変更時刻です。よく聞かれる質問は、「ctime、mtime、atime とは何ですか?」です。これは混乱を招くので、ctime、mtime、atime の違いを説明しましょう。ctime

ctime は、inode またはファイルの変更時刻です。所有者の変更、権限の変更、またはファイルを他のファイルシステムに移動するなど、ファイル属性が変更されると ctime が更新されますが、ファイルを変更した場合にも更新されます。

時間

mtime はファイルの変更時刻です。ファイルを変更すると、mtime が更新されます。ファイルの内容を更新したり、ファイルを保存するたびに、mtime が更新されます。

ほとんどの場合、ファイル属性のみが更新されない限り、ctime と mtime は同じになります。その場合は、ctime のみが更新されます。

時間

atime はファイルへのアクセス時間です。atime はファイルを開いたときに更新されますが、grep、sort、cat、head、tail などの他の操作にファイルが使用されたときにも更新されます。

cygwinはtimestompと同様に4つのタイムスタンプを表示できます。

c:\blah>timestomp a.a -v
Modified:                 Tuesday 9/15/2015 17:23:33
Accessed:                Saturday 12/6/2014 4:49:51
Created:                 Saturday 12/6/2014 4:49:51
Entry Modified:           Tuesday 9/15/2015 17:23:33

-

$ stat a.a
  File: 'a.a'
  Size: 45              Blocks: 4          IO Block: 65536  regular file
Device: b411d580h/3021067648d   Inode: 102738366499454027  Links: 1
Access: (0070/----rwx---)  Uid: ( 1000/  harvey)   Gid: (  513/    None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
 Birth: 2014-12-06 03:49:51.714329000 +0000

どうやら setMACE は timestomp に似ていますが、より優れています。ただし、8 つのタイムスタンプが表示されません。また、setMACE の説明には、タイムスタンプを表示する MFTCRD について言及されています。

MFTRCRDはここから入手できますhttps://github.com/jschicht/MftRcrd

Github はちょっと変なようです。右クリックして名前を付けて保存しないでください。そうしないと、拡張子 EXE の HTML ファイルになります。また、cmd で実行しようとすると、64 ビットと 32 ビットに関するエラーが cmd で表示されます。左クリックすると、次のページで実際のファイルのダウンロードが表示されます。また、管理コマンド プロンプトを使用する必要があります。そうしないと、この発行元のプログラムを信頼するかどうかに関するメッセージが表示され、信頼すると、cmd ウィンドウが点滅して実行されます (cmd /k かどうかに関係なく)。ただし、管理コマンド プロンプトからは正常に動作します。

追加した

最近の Linux ファイル システムの中には、ファイルの作成時刻を保存するものがあります。(crtime と呼ばれることもあります。上記の理由により、ctime ではありません)

https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file