NTFS 파일 타임스탬프 메타데이터에 다음이 포함되어 있음을 이해합니다.
- 만들어진
- 액세스됨
- 수정됨
이 데이터는 Windows 탐색기 UI 및 다른 곳에서 액세스할 수 있습니다.
그러나 타임스탬프 메타데이터에는 다음이 포함되어 있다고 생각합니다.
- 변경됨
분명히 변경된 타임스탬프는 파일의 마스터 파일 테이블 항목이 변경된 시점입니다(참조:https://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/).
이 값에 어떻게 접근할 수 있나요?
답변1
내 연구 결과에 따르면 MFT 타임스탬프라고도 하는 파일 변경 시간 필드는 생성, 수정 및 액세스된 세 가지 표준 시간만 반환하는 표준 API 함수를 사용하여 검색되지 않습니다.
변경 시간을 얻으려면 파일의 MFT 항목을 읽고 직접 분석해야 합니다.
Technet에서 모든 MFT 데이터를 검색하는 예제 PowerShell 스크립트를 찾을 수 있습니다.
파일의 MFT(ChangeTime) 타임스탬프 가져오기(다운로드 링크).
작성자의 이 스크립트에 대한 설명은 다음 기사에서 확인할 수 있습니다.
PowerShell을 사용하여 파일의 MFT 타임스탬프 찾기.