8개의 NTFS 타임스탬프를 모두 표시하려면 어떻게 해야 합니까?

8개의 NTFS 타임스탬프를 모두 표시하려면 어떻게 해야 합니까?

NTFS 타임스탬프가 8개 있다는 것을 알고 있습니다.

http://www.governmentsecurity.org/forum/topic/30896-frustating-ntfs-time-stamp-forensics/

NTFS MACE(수정, 액세스, 생성 및 MFT 항목 수정) 값. NTFS에는 8개의 타임스탬프 값이 제공되며 그 중 4개는 $Standard_Information 속성(SI)에 있고 나머지 4개는 MFT 항목의 $FILE_NAME(FN) 속성에 있습니다.

8개를 모두 표시하려면 어떻게 해야 하나요?

답변1

이 명령으로 가능합니다

MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

매개변수를 어떻게 알았는지에 관해서는 MFTCRD를 수행하면 4개의 매개변수가 있다고 말하고 예를 들어 MFTRCRD C:\boot.ini -d indxdump=off 1024 -s 파일 이름/경로에 관계없이 변경할 수 있습니다.

C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37

Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........

$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335

(수정된 ATime 및 Rtime과 같은 다른 것에 대한 MFTRCRD의 약어는 정말 터무니없어 보입니다. 예를 들어 인터넷 검색 Rtime에는 아무것도 표시되지 않습니다. 따라서 해당 명령이 제공하는 약어를 무시하고 설명을 따라갈 수 있습니다. 그러나 다음과 같은 약어가 있습니다. Linux는 (MAC)를 사용하고 Windows NTFS는 아래에서 설명하는 (MACE)를 사용합니다.)

Linux는 파일이 생성된 시간을 저장하지 않습니다. (업데이트됨 - 일부 최신 Linux 파일 시스템에서는 수행됩니다. 마지막 참고 사항을 참조하세요.) Windows는 생성 시간을 수행합니다.

리눅스에는 3번이 있는 것 같습니다. 맥 시간. m시간 a시간 c시간 . Linux에서는 ctime이 생성 시간이 아닌 변경 시간이고, Linux에서는 '변경된' 시간이 파일이 수정되는 시간(수정 시간)과 다릅니다. Linux에서 변경된 시간은 파일 시스템의 항목이 변경된 때입니다. 예를 들어 파일 권한이 변경된 경우, Linux의 ctime이 변경된 경우입니다.

Windows NTFS는 MACE를 사용하며 MACE의 C가 생성됩니다. MACE의 E는 Linux의 c와 유사한 것 같습니다. 즉, MACE의 E는 변경되는 항목입니다.

http://forensicswiki.org/wiki/MAC_timesMAC 시간 MAC 시간이라는 용어는 특정 파일의 최신 수정(mtime) 또는 마지막으로 작성된 시간, 액세스(atime) 또는 변경(ctime)의 타임스탬프를 나타냅니다.

Unix 시스템은 파일의 권한이나 소유자와 같이 내용이 아닌 특정 파일 메타데이터가 마지막으로 변경된 시간으로 ctime의 역사적 해석을 유지합니다(예: '이 파일 메타데이터는 05/05/02 12:15pm'에 변경되었습니다.') .

Windows 시스템은 생성(btime) 또는 생성(crtime) 시간(예: '이 파일은 05/05/02 12:15pm'에 생성됨)을 사용하는 유일한 시스템입니다. 따라서 MACB; 수정, 접근, 변경 및 탄생.

대조를 위해 Linux를 더 자세히 살펴보는 것이 좋습니다.

http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime

일반적인 실수는 ctime이 파일 생성 시간이라는 것입니다. 이는 정확하지 않습니다. inode/파일 변경 시간입니다. mtime은 파일 수정 시간입니다. 자주 듣는 질문은 "ctime, mtime, atime이 무엇인가요?"입니다. 헷갈리므로 ctime, mtime, atime의 차이점을 설명하겠습니다. c시간

ctime은 inode 또는 파일 변경 시간입니다. 소유자 변경, 권한 변경 또는 파일을 다른 파일 시스템으로 이동하는 등 파일 속성이 변경되면 ctime이 업데이트되지만 파일을 수정할 때도 업데이트됩니다.

시간

mtime은 파일 수정 시간입니다. 파일을 수정하면 mtime이 업데이트됩니다. 파일 내용을 업데이트하거나 파일을 저장할 때마다 mtime이 업데이트됩니다.

파일 속성만 업데이트되지 않는 한 대부분의 경우 ctime과 mtime은 동일합니다. 이 경우 ctime만 업데이트됩니다.

시간

atime은 파일 액세스 시간입니다. atime은 파일을 열 때 업데이트될 뿐만 아니라 파일이 grep, sort, cat, head, tail 등과 같은 다른 작업에 사용될 때도 업데이트됩니다.

cygwin은 타임스탬프와 마찬가지로 4개의 타임스탬프를 표시할 수 있습니다.

c:\blah>timestomp a.a -v
Modified:                 Tuesday 9/15/2015 17:23:33
Accessed:                Saturday 12/6/2014 4:49:51
Created:                 Saturday 12/6/2014 4:49:51
Entry Modified:           Tuesday 9/15/2015 17:23:33

-

$ stat a.a
  File: 'a.a'
  Size: 45              Blocks: 4          IO Block: 65536  regular file
Device: b411d580h/3021067648d   Inode: 102738366499454027  Links: 1
Access: (0070/----rwx---)  Uid: ( 1000/  harvey)   Gid: (  513/    None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
 Birth: 2014-12-06 03:49:51.714329000 +0000

분명히 setMACE는 타임스탬프와 비슷하지만 더 좋습니다. 그러나 8개의 타임스탬프가 표시되는 것을 볼 수 없습니다. 그리고 setMACE 설명에는 타임스탬프를 보여주는 MFTCRD가 언급되어 있습니다.

여기에서 MFTRCRD를 얻을 수 있습니다.https://github.com/jschicht/MftRcrd

Github은 약간 이상한 것 같습니다. 마우스 오른쪽 버튼을 클릭하여 다른 이름으로 저장하지 마세요. 그렇지 않으면 확장자가 EXE인 HTML 파일입니다. 그리고 cmd에서 실행하려고 하면 cmd에서 64비트와 32비트에 대한 오류가 발생합니다. 마우스 왼쪽 버튼을 클릭하면 다음 페이지에서 실제 파일을 다운로드할 수 있습니다. 그리고 관리 명령 프롬프트에 있어야 합니다. 그렇지 않으면 이 게시자의 프로그램을 신뢰하는지에 대한 메시지가 표시되고, 예라고 대답하면 cmd 창이 깜박이고 진행됩니다(cmd /k 여부도 마찬가지입니다). 그러나 관리 cmd 프롬프트에서는 제대로 작동합니다.

추가됨

일부 최신 Linux 파일 시스템은 파일 생성 시간을 저장합니다. (crtime으로 알려질 수 있습니다. 위에서 언급한 이유로 확실히 ctime은 아닙니다)

https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file

관련 정보