Ich verstehe, dass die Zeitstempel-Metadaten von NTFS-Dateien Folgendes umfassen:
- Erstellt
- Zugriff
- Geändert
Auf diese Daten kann über die Benutzeroberfläche des Windows Explorers und anderswo zugegriffen werden.
Ich glaube jedoch, dass die Zeitstempel-Metadaten Folgendes beinhalten:
- Geändert
Offenbar ist der Änderungszeitstempel der Zeitpunkt, zu dem der Eintrag in der Hauptdateitabelle geändert wurde (siehehttps://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/).
Wie kann ich auf diesen Wert zugreifen?
Antwort1
Meinen Erkenntnissen zufolge wird das Feld „Änderungszeit“ der Datei, auch MFT-Zeitstempel genannt, nicht mithilfe von Standard-API-Funktionen abgerufen, die nur die drei Standardzeiten für Erstellung, Änderung und Zugriff zurückgeben.
Um die Änderungszeit zu erhalten, müssen Sie den MFT-Eintrag der Datei lesen und selbst analysieren.
Ein Beispiel für ein PowerShell-Skript, das alle MFT-Daten abruft, finden Sie in Technet:
Holen Sie sich den MFT (ChangeTime)-Zeitstempel einer Datei(Download-Link).
Eine Erklärung des Autors zu diesem Skript finden Sie im Artikel:
Suchen des MFT-Zeitstempels einer Datei mit PowerShell.