NTFS ファイルのタイムスタンプ メタデータには次のものが含まれていると理解しています。
- 作成した
- アクセス
- 修正済み
このデータは、Windows エクスプローラー UI やその他の場所でアクセスできます。
しかし、タイムスタンプのメタデータには
- かわった
どうやら変更タイムスタンプは、ファイルのマスターファイルテーブルエントリが変更されたときのようです(https://app.pluralsight.com/library/courses/デジタルフォレンジックファイルシステムの取得/)。
この値にアクセスするにはどうすればいいでしょうか?
答え1
私の調査結果によると、ファイル変更時刻フィールド (MFT タイムスタンプとも呼ばれます) は、作成、変更、アクセスの 3 つの標準時刻のみを返す標準 API 関数を使用して取得されません。
変更時刻を取得するには、ファイルの MFT エントリを読み取って自分で分析する必要があります。
Technet ですべての MFT データを取得する PowerShell スクリプトの例が見つかります。
ファイルの MFT (ChangeTime) タイムスタンプを取得する(ダウンロードリンク)。
このスクリプトについての著者による説明は、次の記事にあります。
PowerShell を使用してファイルの MFT タイムスタンプを検索する。