Wie kann ich alle 8 NTFS-Zeitstempel anzeigen?

Question

Dieser Befehl kann es tun

MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Woher ich die Parameter kannte, habe ich bei MFTCRD festgestellt, dass es 4 Parameter gibt, und ein Beispiel dafür gegeben, MFTRCRD C:\boot.ini -d indxdump=off 1024 -s sodass Sie diese für jeden beliebigen Dateinamen/Pfad ändern können.

C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37

Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........

$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335

(Beachten Sie, dass die Abkürzungen von MFTRCRD von ATime für modifiziert und andere, wie Rtime, wirklich absurd aussehen. Wenn Sie beispielsweise nach Rtime googeln, wird nichts angezeigt. Sie können also die Abkürzungen, die Ihnen dieser Befehl liefert, ignorieren und sich an die Beschreibungen halten. Es gibt jedoch Abkürzungen, die Linux verwendet (MAC) und die Windows NTFS verwendet (MACE), die ich weiter unten beschreibe.)

Linux speichert den Zeitpunkt der Dateierstellung nicht. (Aktualisiert – einige moderne Linux-Dateisysteme tun dies, siehe Hinweis am Ende) Windows speichert den Erstellungszeitpunkt.

Es sieht so aus, als hätte Linux 3 Zeiten. MAC-Zeit. mtime, atime, ctime. Unter Linux ist ctime die Änderungszeit und nicht die Erstellungszeit, und die „Änderungszeit“ unter Linux unterscheidet sich von der geänderten Datei (der Änderungszeit). Die Änderungszeit unter Linux ist, wenn der Eintrag im Dateisystem geändert wurde, d. h. wenn oder sogar wenn sich die Dateiberechtigungen ändern, ändert sich die ctime unter Linux.

Windows NTFS verwendet MACE und das C in MACE steht für die Erstellung. Das E in MACE scheint wie das C in Linux zu sein, d. h. das E in MACE steht für den Eintrag, der geändert wird.

http://forensicswiki.org/wiki/MAC_timesMAC-Zeiten Unter dem Begriff MAC-Zeiten versteht man den Zeitstempel der letzten Modifikation (mtime) bzw. des letzten Schreibzeitpunkts, Zugriffs (atime) oder der Änderung (ctime) einer bestimmten Datei.

Unix-Systeme interpretieren ctime historisch als den Zeitpunkt, zu dem bestimmte Metadaten einer Datei (nicht deren Inhalt) zuletzt geändert wurden, wie etwa die Berechtigungen oder der Eigentümer der Datei (z. B. „Die Metadaten dieser Datei wurden am 05.05.02 um 12:15 Uhr geändert“).

Windows-Systeme sind die einzigen Systeme, die die Geburtszeit (btime) oder Erstellungszeit (crtime) verwenden (z. B. „Diese Datei wurde am 05.05.02 um 12:15 Uhr erstellt“). Daher MACB: Modifikation, Zugriff, Änderung und Geburt.

Ein genauerer Blick auf Linux zum Vergleich ist hilfreich.

http://www.linux-faqs.info/general/unterschied-zwischen-mtime-ctime-und-atime

Ein häufiger Fehler ist, dass ctime die Dateierstellungszeit ist. Das ist nicht richtig, es ist die Inode-/Dateiänderungszeit. mtime ist die Dateiänderungszeit. Eine häufig gestellte Frage ist „Was ist ctime, mtime und atime?“. Das ist verwirrend, also lassen Sie mich den Unterschied zwischen ctime, mtime und atime erklären. ctime

ctime ist die Inode- oder Dateiänderungszeit. Die ctime wird aktualisiert, wenn die Dateiattribute geändert werden, z. B. wenn der Besitzer geändert wird, die Berechtigung geändert wird oder die Datei in ein anderes Dateisystem verschoben wird. Sie wird aber auch aktualisiert, wenn Sie eine Datei ändern.

mZeit

mtime ist die Änderungszeit der Datei. Die mtime wird aktualisiert, wenn Sie eine Datei ändern. Immer wenn Sie den Inhalt einer Datei aktualisieren oder eine Datei speichern, wird die mtime aktualisiert.

In den meisten Fällen sind ctime und mtime gleich, es sei denn, es werden nur die Dateiattribute aktualisiert. In diesem Fall wird nur ctime aktualisiert.

eine Zeit

atime ist die Dateizugriffszeit. Die atime wird aktualisiert, wenn Sie eine Datei öffnen, aber auch, wenn eine Datei für andere Vorgänge wie grep, sort, cat, head, tail usw. verwendet wird.

Cygwin kann 4 Zeitstempel anzeigen, ebenso wie Timestomp

c:\blah>timestomp a.a -v
Modified:                 Tuesday 9/15/2015 17:23:33
Accessed:                Saturday 12/6/2014 4:49:51
Created:                 Saturday 12/6/2014 4:49:51
Entry Modified:           Tuesday 9/15/2015 17:23:33

-

$ stat a.a
  File: 'a.a'
  Size: 45              Blocks: 4          IO Block: 65536  regular file
Device: b411d580h/3021067648d   Inode: 102738366499454027  Links: 1
Access: (0070/----rwx---)  Uid: ( 1000/  harvey)   Gid: (  513/    None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
 Birth: 2014-12-06 03:49:51.714329000 +0000

Anscheinend ist setMACE wie timestomp, nur besser. Ich kann jedoch nicht sehen, dass es die 8 Zeitstempel anzeigt. Und in der setMACE-Beschreibung wird MFTCRD erwähnt, das die Zeitstempel anzeigt.

Sie können MFTRCRD hier erhaltenhttps://github.com/jschicht/MftRcrd

Github scheint ein bisschen seltsam zu sein, klicken Sie nicht mit der rechten Maustaste und wählen Sie „Speichern unter“, sonst ist es eine HTML-Datei mit der Erweiterung EXE. Und wenn Sie versuchen, es mit cmd auszuführen, erhalten Sie einen cmd-Fehler bezüglich 64 Bit und 32 Bit. Versuchen Sie, mit der linken Maustaste darauf zu klicken, dann können Sie auf der nächsten Seite die eigentliche Datei herunterladen. Und Sie müssen sich in einer administrativen Eingabeaufforderung befinden, sonst erhalten Sie eine Meldung, ob Sie Programmen dieses Herausgebers vertrauen, und wenn Sie „Ja“ sagen, blinkt ein cmd-Fenster auf und es wird angezeigt (und ob cmd /k oder nicht). Aber es funktioniert einwandfrei von einer administrativen cmd-Eingabeaufforderung aus.

HINZUGEFÜGT

Einige moderne Linux-Dateisysteme speichern die Dateierstellungszeit. (Kann als crtime bezeichnet werden. Definitiv nicht ctime, aus den oben genannten Gründen)

https://unix.stackexchange.com/questions/91197/wie-findet-man-das-erstellungsdatum-der-datei

Answer 1

Dieser Befehl kann es tun

MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Woher ich die Parameter kannte, habe ich bei MFTCRD festgestellt, dass es 4 Parameter gibt, und ein Beispiel dafür gegeben, MFTRCRD C:\boot.ini -d indxdump=off 1024 -s sodass Sie diese für jeden beliebigen Dateinamen/Pfad ändern können.

C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37

Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........

$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335

(Beachten Sie, dass die Abkürzungen von MFTRCRD von ATime für modifiziert und andere, wie Rtime, wirklich absurd aussehen. Wenn Sie beispielsweise nach Rtime googeln, wird nichts angezeigt. Sie können also die Abkürzungen, die Ihnen dieser Befehl liefert, ignorieren und sich an die Beschreibungen halten. Es gibt jedoch Abkürzungen, die Linux verwendet (MAC) und die Windows NTFS verwendet (MACE), die ich weiter unten beschreibe.)

Linux speichert den Zeitpunkt der Dateierstellung nicht. (Aktualisiert – einige moderne Linux-Dateisysteme tun dies, siehe Hinweis am Ende) Windows speichert den Erstellungszeitpunkt.

Es sieht so aus, als hätte Linux 3 Zeiten. MAC-Zeit. mtime, atime, ctime. Unter Linux ist ctime die Änderungszeit und nicht die Erstellungszeit, und die „Änderungszeit“ unter Linux unterscheidet sich von der geänderten Datei (der Änderungszeit). Die Änderungszeit unter Linux ist, wenn der Eintrag im Dateisystem geändert wurde, d. h. wenn oder sogar wenn sich die Dateiberechtigungen ändern, ändert sich die ctime unter Linux.

Windows NTFS verwendet MACE und das C in MACE steht für die Erstellung. Das E in MACE scheint wie das C in Linux zu sein, d. h. das E in MACE steht für den Eintrag, der geändert wird.

http://forensicswiki.org/wiki/MAC_timesMAC-Zeiten Unter dem Begriff MAC-Zeiten versteht man den Zeitstempel der letzten Modifikation (mtime) bzw. des letzten Schreibzeitpunkts, Zugriffs (atime) oder der Änderung (ctime) einer bestimmten Datei.

Unix-Systeme interpretieren ctime historisch als den Zeitpunkt, zu dem bestimmte Metadaten einer Datei (nicht deren Inhalt) zuletzt geändert wurden, wie etwa die Berechtigungen oder der Eigentümer der Datei (z. B. „Die Metadaten dieser Datei wurden am 05.05.02 um 12:15 Uhr geändert“).

Windows-Systeme sind die einzigen Systeme, die die Geburtszeit (btime) oder Erstellungszeit (crtime) verwenden (z. B. „Diese Datei wurde am 05.05.02 um 12:15 Uhr erstellt“). Daher MACB: Modifikation, Zugriff, Änderung und Geburt.

Ein genauerer Blick auf Linux zum Vergleich ist hilfreich.

http://www.linux-faqs.info/general/unterschied-zwischen-mtime-ctime-und-atime

Ein häufiger Fehler ist, dass ctime die Dateierstellungszeit ist. Das ist nicht richtig, es ist die Inode-/Dateiänderungszeit. mtime ist die Dateiänderungszeit. Eine häufig gestellte Frage ist „Was ist ctime, mtime und atime?“. Das ist verwirrend, also lassen Sie mich den Unterschied zwischen ctime, mtime und atime erklären. ctime

ctime ist die Inode- oder Dateiänderungszeit. Die ctime wird aktualisiert, wenn die Dateiattribute geändert werden, z. B. wenn der Besitzer geändert wird, die Berechtigung geändert wird oder die Datei in ein anderes Dateisystem verschoben wird. Sie wird aber auch aktualisiert, wenn Sie eine Datei ändern.

mZeit

mtime ist die Änderungszeit der Datei. Die mtime wird aktualisiert, wenn Sie eine Datei ändern. Immer wenn Sie den Inhalt einer Datei aktualisieren oder eine Datei speichern, wird die mtime aktualisiert.

In den meisten Fällen sind ctime und mtime gleich, es sei denn, es werden nur die Dateiattribute aktualisiert. In diesem Fall wird nur ctime aktualisiert.

eine Zeit

atime ist die Dateizugriffszeit. Die atime wird aktualisiert, wenn Sie eine Datei öffnen, aber auch, wenn eine Datei für andere Vorgänge wie grep, sort, cat, head, tail usw. verwendet wird.

Cygwin kann 4 Zeitstempel anzeigen, ebenso wie Timestomp

c:\blah>timestomp a.a -v
Modified:                 Tuesday 9/15/2015 17:23:33
Accessed:                Saturday 12/6/2014 4:49:51
Created:                 Saturday 12/6/2014 4:49:51
Entry Modified:           Tuesday 9/15/2015 17:23:33

-

$ stat a.a
  File: 'a.a'
  Size: 45              Blocks: 4          IO Block: 65536  regular file
Device: b411d580h/3021067648d   Inode: 102738366499454027  Links: 1
Access: (0070/----rwx---)  Uid: ( 1000/  harvey)   Gid: (  513/    None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
 Birth: 2014-12-06 03:49:51.714329000 +0000

Anscheinend ist setMACE wie timestomp, nur besser. Ich kann jedoch nicht sehen, dass es die 8 Zeitstempel anzeigt. Und in der setMACE-Beschreibung wird MFTCRD erwähnt, das die Zeitstempel anzeigt.

Sie können MFTRCRD hier erhaltenhttps://github.com/jschicht/MftRcrd

Github scheint ein bisschen seltsam zu sein, klicken Sie nicht mit der rechten Maustaste und wählen Sie „Speichern unter“, sonst ist es eine HTML-Datei mit der Erweiterung EXE. Und wenn Sie versuchen, es mit cmd auszuführen, erhalten Sie einen cmd-Fehler bezüglich 64 Bit und 32 Bit. Versuchen Sie, mit der linken Maustaste darauf zu klicken, dann können Sie auf der nächsten Seite die eigentliche Datei herunterladen. Und Sie müssen sich in einer administrativen Eingabeaufforderung befinden, sonst erhalten Sie eine Meldung, ob Sie Programmen dieses Herausgebers vertrauen, und wenn Sie „Ja“ sagen, blinkt ein cmd-Fenster auf und es wird angezeigt (und ob cmd /k oder nicht). Aber es funktioniert einwandfrei von einer administrativen cmd-Eingabeaufforderung aus.

HINZUGEFÜGT

Einige moderne Linux-Dateisysteme speichern die Dateierstellungszeit. (Kann als crtime bezeichnet werden. Definitiv nicht ctime, aus den oben genannten Gründen)

https://unix.stackexchange.com/questions/91197/wie-findet-man-das-erstellungsdatum-der-datei

Wie kann ich alle 8 NTFS-Zeitstempel anzeigen?

Antwort1

verwandte Informationen