Entiendo que hay 8 marcas de tiempo NTFS
http://www.governmentsecurity.org/forum/topic/30896-frustrating-ntfs-time-stamp-forensics/
Valores NTFS MACE (modificado, accedido, creado y entrada MFT modificada). NTFS viene con 8 valores de marca de tiempo, 4 de los cuales residen en el atributo $Standard_Information (SI) y los otros 4 en el atributo $FILE_NAME (FN) de la entrada MFT.
¿Cómo puedo mostrar los 8?
Respuesta1
Este comando puede hacerlo
MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
En cuanto a cómo conocía los parámetros, bueno, al hacer MFTCRD dije que hay 4 parámetros y di un ejemplo MFTRCRD C:\boot.ini -d indxdump=off 1024 -s
para que pueda cambiar cualquier nombre de archivo/ruta.
C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37
Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........
$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
(tenga en cuenta que las abreviaturas de MFTRCRD de ATime para modificado y otras, como Rtime, parecen realmente absurdas, por ejemplo, buscar en Google Rtime no muestra nada. Por lo tanto, puede ignorar las abreviaturas que le proporciona ese comando y seguir las descripciones. Pero hay abreviaturas que utiliza Linux (MAC) y Windows NTFS (MACE) que describo a continuación)
Linux no almacena la hora en que se creó el archivo. (actualizado: algunos sistemas de archivos Linux modernos lo hacen, consulte la nota al final) Windows realiza el tiempo de creación.
Parece que Linux tiene 3 veces. Hora MAC. mtime atime ctime . En Linux, ctime es la hora de cambio, en lugar de la hora de creación, y la hora de 'cambio', en Linux es diferente al archivo que se está modificando (la hora de modificación). La hora de cambio en Linux es cuando se cambió la entrada en el sistema de archivos, por ejemplo, cuando/incluso cuando, los permisos del archivo cambian, luego cambia la hora c en Linux.
Windows NTFS usa MACE y la C en MACE es creación. La E en MACE parece ser como la c en Linux, es decir, la E en MACE es la entrada que se está cambiando.
http://forensicswiki.org/wiki/MAC_timesTiempos MAC El término tiempos MAC se refiere a las marcas de tiempo de la última modificación (mtime) o la última hora escrita, acceso (atime) o cambio (ctime) de un determinado archivo.
Los sistemas Unix mantienen la interpretación histórica de ctime como el momento en que se cambiaron por última vez ciertos metadatos del archivo, no su contenido, como los permisos o el propietario del archivo (por ejemplo, 'Los metadatos de este archivo se cambiaron el 05/05/02 a las 12:15 p. m.') .
Los sistemas Windows son los únicos sistemas que utilizan la hora de nacimiento (btime) o de creación (crtime) (por ejemplo, 'Este archivo se creó el 05/05/02 a las 12:15 p.m.'). Por tanto MACB; Modificación, Acceso, Cambio y Nacimiento.
Mirar más a Linux para ver el contraste es beneficioso.
http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime
Un error común es que ctime es la hora de creación del archivo. Esto no es correcto, es el tiempo de cambio de inodo/archivo. mtime es la hora de modificación del archivo. Una pregunta que se escucha con frecuencia es "¿Qué es ctime, mtime y atime?". Esto es confuso, así que permítanme explicarles la diferencia entre ctime, mtime y atime. tiempo
ctime es el tiempo de cambio de inodo o archivo. El ctime se actualiza cuando se cambian los atributos del archivo, como cambiar el propietario, cambiar el permiso o mover el archivo a otro sistema de archivos, pero también se actualizará cuando modifique un archivo.
tiempo
mtime es la hora de modificación del archivo. El mtime se actualiza cuando modifica un archivo. Cada vez que actualiza el contenido de un archivo o guarda un archivo, mtime se actualiza.
La mayoría de las veces, ctime y mtime serán iguales, a menos que solo se actualicen los atributos del archivo. En ese caso, solo se actualiza el ctime.
un momento
atime es el tiempo de acceso al archivo. El tiempo se actualiza cuando abre un archivo pero también cuando un archivo se usa para otras operaciones como grep, sort, cat, head, tail, etc.
Cygwin puede mostrar 4 marcas de tiempo, al igual que Timestomp.
c:\blah>timestomp a.a -v
Modified: Tuesday 9/15/2015 17:23:33
Accessed: Saturday 12/6/2014 4:49:51
Created: Saturday 12/6/2014 4:49:51
Entry Modified: Tuesday 9/15/2015 17:23:33
-
$ stat a.a
File: 'a.a'
Size: 45 Blocks: 4 IO Block: 65536 regular file
Device: b411d580h/3021067648d Inode: 102738366499454027 Links: 1
Access: (0070/----rwx---) Uid: ( 1000/ harvey) Gid: ( 513/ None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
Birth: 2014-12-06 03:49:51.714329000 +0000
Aparentemente setMACE es como timestomp pero mejor. Sin embargo, no puedo ver que muestre las 8 marcas de tiempo. Y la descripción de setMACE menciona MFTCRD que muestra las marcas de tiempo.
Puede obtener MFTRCRD desde aquíhttps://github.com/jschicht/MftRcrd
Github parece un poco extraño, no hagas clic derecho y guardes como, de lo contrario es un archivo HTML con extensión EXE. Y cuando intentas ejecutarlo en cmd, aparece un error en cmd sobre 64 bits y 32 bits. Intente hacer clic izquierdo y luego la página siguiente le mostrará una descarga del archivo real. Y debe estar en un símbolo del sistema administrativo; de lo contrario, recibirá un mensaje sobre si confía en los programas de este editor y, si dice que sí, aparecerá una ventana cmd y desaparecerá (y si cmd /k o no). Pero funciona bien desde un indicador de cmd administrativo.
AGREGADO
Algunos sistemas de archivos Linux modernos almacenan el tiempo de creación de archivos. (Puede conocerse como crtime. Definitivamente no es ctime, por las razones mencionadas anteriormente)
https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file