Entiendo que los metadatos de la marca de tiempo del archivo NTFS incluyen lo siguiente:
- Creado
- Accedido
- Modificado
Se puede acceder a estos datos en la interfaz de usuario del Explorador de Windows y en otros lugares.
Sin embargo, creo que los metadatos de la marca de tiempo incluyen
- Cambió
Aparentemente, la marca de tiempo modificada es cuando se cambió la entrada de la tabla de archivos maestra del archivo (consultehttps://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/).
¿Cómo puedo acceder a este valor?
Respuesta1
Según mis hallazgos, el campo Hora de cambio del archivo, también llamado Marca de tiempo MFT, no se recupera mediante el uso de funciones API estándar, que solo devuelven las tres horas estándar de creación, modificación y acceso.
Para obtener la hora de cambio, debe leer la entrada MFT del archivo y analizarla usted mismo.
Encontrará un script de PowerShell de ejemplo que recupera todos los datos de MFT en Technet:
Obtener la marca de tiempo MFT (ChangeTime) de un archivo(enlace de descarga).
Una explicación de este script por parte del autor se encuentra en el artículo:
Encontrar la marca de tiempo MFT de un archivo usando PowerShell.