Como posso exibir todos os 8 carimbos de data/hora NTFS?

Question

Este comando pode fazer isso

MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Quanto a como eu conhecia os parâmetros, bem, fazer MFTCRD disse que existem 4 parâmetros e deu um exemplo para MFTRCRD C:\boot.ini -d indxdump=off 1024 -s que você possa alterar qualquer nome de arquivo/caminho.

C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37

Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........

$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335

(observe essas abreviações de MFTRCRD de ATime para modificado e outros, como Rtime, parecem realmente absurdos, por exemplo, pesquisar Rtime no Google não mostra nada. Portanto, você pode ignorar as abreviações que esse comando fornece e seguir as descrições. Mas existem abreviações que o linux usa (MAC) e o windows NTFS usa (MACE) que descrevo abaixo)

O Linux não armazena a hora em que o arquivo foi criado. (atualizado - alguns sistemas de arquivos Linux modernos fazem isso, veja a nota no final) O Windows faz o tempo de criação.

Parece que o Linux tem 3 vezes. Hora MAC. mtime atime ctime . No Linux, ctime é a hora alterada, em vez da hora de criação, e a hora 'alterada', no Linux é diferente do arquivo que está sendo modificado (a hora modificada). O horário alterado no Linux é quando a entrada no sistema de arquivos foi alterada, por exemplo, quando/mesmo quando as permissões do arquivo mudam, então o ctime no Linux muda.

O Windows NTFS usa MACE e o C no MACE é a criação. O E no MACE parece ser como o c no Linux, ou seja, o E no MACE é a entrada que está sendo alterada.

http://forensicswiki.org/wiki/MAC_timesTempos MAC O termo tempos MAC refere-se aos carimbos de data e hora da última modificação (mtime) ou da última gravação, acesso (atime) ou alteração (ctime) de um determinado arquivo.

Os sistemas Unix mantêm a interpretação histórica de ctime como o momento em que determinados metadados do arquivo, e não seu conteúdo, foram alterados pela última vez, como as permissões ou o proprietário do arquivo (por exemplo, 'Os metadados deste arquivo foram alterados em 05/05/02 12h15') .

Os sistemas Windows são os únicos sistemas que usam o horário de nascimento (btime) ou de criação (crtime) (por exemplo, 'Este arquivo foi criado em 05/05/02 às 12h15'). Daí MACB; Modificação, Acesso, Mudança e Nascimento.

Uma análise mais aprofundada do Linux em busca de contraste é benéfica.

http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime

Um erro comum é que ctime seja o horário de criação do arquivo. Isso não está correto, é o horário de alteração do inode/arquivo. mtime é o horário de modificação do arquivo. Uma pergunta frequentemente ouvida é "Qual é ctime, mtime e atime?". Isso é confuso, então deixe-me explicar a diferença entre ctime, mtime e atime. ctime

ctime é o tempo de alteração do inode ou arquivo. O ctime é atualizado quando os atributos do arquivo são alterados, como alterar o proprietário, alterar a permissão ou mover o arquivo para outro sistema de arquivos, mas também será atualizado quando você modificar um arquivo.

mtime

mtime é o horário de modificação do arquivo. O mtime é atualizado quando você modifica um arquivo. Sempre que você atualiza o conteúdo de um arquivo ou salva um arquivo, o mtime é atualizado.

Na maioria das vezes, ctime e mtime serão iguais, a menos que apenas os atributos do arquivo sejam atualizados. Nesse caso, apenas o ctime é atualizado.

um tempo

atime é o tempo de acesso ao arquivo. O atime é atualizado quando você abre um arquivo, mas também quando um arquivo é usado para outras operações como grep, sort, cat, head, tail e assim por diante.

cygwin pode mostrar 4 carimbos de data/hora, assim como timestomp

c:\blah>timestomp a.a -v
Modified:                 Tuesday 9/15/2015 17:23:33
Accessed:                Saturday 12/6/2014 4:49:51
Created:                 Saturday 12/6/2014 4:49:51
Entry Modified:           Tuesday 9/15/2015 17:23:33

-

$ stat a.a
  File: 'a.a'
  Size: 45              Blocks: 4          IO Block: 65536  regular file
Device: b411d580h/3021067648d   Inode: 102738366499454027  Links: 1
Access: (0070/----rwx---)  Uid: ( 1000/  harvey)   Gid: (  513/    None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
 Birth: 2014-12-06 03:49:51.714329000 +0000

Aparentemente setMACE é como timestomp, mas melhor. No entanto, não consigo vê-lo mostrando os 8 carimbos de data/hora. E a descrição do setMACE mencionou MFTCRD que mostra os carimbos de data/hora.

Você pode obter MFTRCRD aquihttps://github.com/jschicht/MftRcrd

O Github parece um pouco estranho, não clique com o botão direito e salve como, caso contrário é um arquivo HTML com extensão EXE. E quando você tenta executá-lo no cmd você recebe um erro no cmd sobre 64 bits e 32 bits. Tente clicar com o botão esquerdo e a próxima página fornecerá o download do arquivo real. E você precisa estar em um prompt de comando administrativo, caso contrário, receberá uma mensagem sobre se você confia nos programas deste editor e, se disser sim, uma janela cmd aparecerá e aparecerá (e se cmd /k ou não). Mas funciona bem em um prompt administrativo do cmd.

ADICIONADO

Alguns sistemas de arquivos Linux modernos armazenam o tempo de criação de arquivos. (pode ser conhecido como crtime. Definitivamente não é ctime, pelos motivos mencionados acima)

https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file

Answer 1

Este comando pode fazer isso

MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Quanto a como eu conhecia os parâmetros, bem, fazer MFTCRD disse que existem 4 parâmetros e deu um exemplo para MFTRCRD C:\boot.ini -d indxdump=off 1024 -s que você possa alterar qualquer nome de arquivo/caminho.

C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37

Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........

$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335

(observe essas abreviações de MFTRCRD de ATime para modificado e outros, como Rtime, parecem realmente absurdos, por exemplo, pesquisar Rtime no Google não mostra nada. Portanto, você pode ignorar as abreviações que esse comando fornece e seguir as descrições. Mas existem abreviações que o linux usa (MAC) e o windows NTFS usa (MACE) que descrevo abaixo)

O Linux não armazena a hora em que o arquivo foi criado. (atualizado - alguns sistemas de arquivos Linux modernos fazem isso, veja a nota no final) O Windows faz o tempo de criação.

Parece que o Linux tem 3 vezes. Hora MAC. mtime atime ctime . No Linux, ctime é a hora alterada, em vez da hora de criação, e a hora 'alterada', no Linux é diferente do arquivo que está sendo modificado (a hora modificada). O horário alterado no Linux é quando a entrada no sistema de arquivos foi alterada, por exemplo, quando/mesmo quando as permissões do arquivo mudam, então o ctime no Linux muda.

O Windows NTFS usa MACE e o C no MACE é a criação. O E no MACE parece ser como o c no Linux, ou seja, o E no MACE é a entrada que está sendo alterada.

http://forensicswiki.org/wiki/MAC_timesTempos MAC O termo tempos MAC refere-se aos carimbos de data e hora da última modificação (mtime) ou da última gravação, acesso (atime) ou alteração (ctime) de um determinado arquivo.

Os sistemas Unix mantêm a interpretação histórica de ctime como o momento em que determinados metadados do arquivo, e não seu conteúdo, foram alterados pela última vez, como as permissões ou o proprietário do arquivo (por exemplo, 'Os metadados deste arquivo foram alterados em 05/05/02 12h15') .

Os sistemas Windows são os únicos sistemas que usam o horário de nascimento (btime) ou de criação (crtime) (por exemplo, 'Este arquivo foi criado em 05/05/02 às 12h15'). Daí MACB; Modificação, Acesso, Mudança e Nascimento.

Uma análise mais aprofundada do Linux em busca de contraste é benéfica.

http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime

Um erro comum é que ctime seja o horário de criação do arquivo. Isso não está correto, é o horário de alteração do inode/arquivo. mtime é o horário de modificação do arquivo. Uma pergunta frequentemente ouvida é "Qual é ctime, mtime e atime?". Isso é confuso, então deixe-me explicar a diferença entre ctime, mtime e atime. ctime

ctime é o tempo de alteração do inode ou arquivo. O ctime é atualizado quando os atributos do arquivo são alterados, como alterar o proprietário, alterar a permissão ou mover o arquivo para outro sistema de arquivos, mas também será atualizado quando você modificar um arquivo.

mtime

mtime é o horário de modificação do arquivo. O mtime é atualizado quando você modifica um arquivo. Sempre que você atualiza o conteúdo de um arquivo ou salva um arquivo, o mtime é atualizado.

Na maioria das vezes, ctime e mtime serão iguais, a menos que apenas os atributos do arquivo sejam atualizados. Nesse caso, apenas o ctime é atualizado.

um tempo

atime é o tempo de acesso ao arquivo. O atime é atualizado quando você abre um arquivo, mas também quando um arquivo é usado para outras operações como grep, sort, cat, head, tail e assim por diante.

cygwin pode mostrar 4 carimbos de data/hora, assim como timestomp

c:\blah>timestomp a.a -v
Modified:                 Tuesday 9/15/2015 17:23:33
Accessed:                Saturday 12/6/2014 4:49:51
Created:                 Saturday 12/6/2014 4:49:51
Entry Modified:           Tuesday 9/15/2015 17:23:33

-

$ stat a.a
  File: 'a.a'
  Size: 45              Blocks: 4          IO Block: 65536  regular file
Device: b411d580h/3021067648d   Inode: 102738366499454027  Links: 1
Access: (0070/----rwx---)  Uid: ( 1000/  harvey)   Gid: (  513/    None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
 Birth: 2014-12-06 03:49:51.714329000 +0000

Aparentemente setMACE é como timestomp, mas melhor. No entanto, não consigo vê-lo mostrando os 8 carimbos de data/hora. E a descrição do setMACE mencionou MFTCRD que mostra os carimbos de data/hora.

Você pode obter MFTRCRD aquihttps://github.com/jschicht/MftRcrd

O Github parece um pouco estranho, não clique com o botão direito e salve como, caso contrário é um arquivo HTML com extensão EXE. E quando você tenta executá-lo no cmd você recebe um erro no cmd sobre 64 bits e 32 bits. Tente clicar com o botão esquerdo e a próxima página fornecerá o download do arquivo real. E você precisa estar em um prompt de comando administrativo, caso contrário, receberá uma mensagem sobre se você confia nos programas deste editor e, se disser sim, uma janela cmd aparecerá e aparecerá (e se cmd /k ou não). Mas funciona bem em um prompt administrativo do cmd.

ADICIONADO

Alguns sistemas de arquivos Linux modernos armazenam o tempo de criação de arquivos. (pode ser conhecido como crtime. Definitivamente não é ctime, pelos motivos mencionados acima)

https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file

Como posso exibir todos os 8 carimbos de data/hora NTFS?

Responder1

informação relacionada