Eu entendo que existem 8 carimbos de data/hora NTFS
http://www.governmentsecurity.org/forum/topic/30896-frustrating-ntfs-time-stamp-forensics/
Valores NTFS MACE (modificado, acessado, criado e entrada MFT modificada). O NTFS vem com 8 valores de carimbo de data/hora, 4 dos quais residem no atributo $Standard_Information (SI) e os outros 4 no atributo $FILE_NAME (FN) da entrada MFT.
Como posso exibir todos os 8?
Responder1
Este comando pode fazer isso
MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Quanto a como eu conhecia os parâmetros, bem, fazer MFTCRD disse que existem 4 parâmetros e deu um exemplo para MFTRCRD C:\boot.ini -d indxdump=off 1024 -s
que você possa alterar qualquer nome de arquivo/caminho.
C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37
Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........
$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
(observe essas abreviações de MFTRCRD de ATime para modificado e outros, como Rtime, parecem realmente absurdos, por exemplo, pesquisar Rtime no Google não mostra nada. Portanto, você pode ignorar as abreviações que esse comando fornece e seguir as descrições. Mas existem abreviações que o linux usa (MAC) e o windows NTFS usa (MACE) que descrevo abaixo)
O Linux não armazena a hora em que o arquivo foi criado. (atualizado - alguns sistemas de arquivos Linux modernos fazem isso, veja a nota no final) O Windows faz o tempo de criação.
Parece que o Linux tem 3 vezes. Hora MAC. mtime atime ctime . No Linux, ctime é a hora alterada, em vez da hora de criação, e a hora 'alterada', no Linux é diferente do arquivo que está sendo modificado (a hora modificada). O horário alterado no Linux é quando a entrada no sistema de arquivos foi alterada, por exemplo, quando/mesmo quando as permissões do arquivo mudam, então o ctime no Linux muda.
O Windows NTFS usa MACE e o C no MACE é a criação. O E no MACE parece ser como o c no Linux, ou seja, o E no MACE é a entrada que está sendo alterada.
http://forensicswiki.org/wiki/MAC_timesTempos MAC O termo tempos MAC refere-se aos carimbos de data e hora da última modificação (mtime) ou da última gravação, acesso (atime) ou alteração (ctime) de um determinado arquivo.
Os sistemas Unix mantêm a interpretação histórica de ctime como o momento em que determinados metadados do arquivo, e não seu conteúdo, foram alterados pela última vez, como as permissões ou o proprietário do arquivo (por exemplo, 'Os metadados deste arquivo foram alterados em 05/05/02 12h15') .
Os sistemas Windows são os únicos sistemas que usam o horário de nascimento (btime) ou de criação (crtime) (por exemplo, 'Este arquivo foi criado em 05/05/02 às 12h15'). Daí MACB; Modificação, Acesso, Mudança e Nascimento.
Uma análise mais aprofundada do Linux em busca de contraste é benéfica.
http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime
Um erro comum é que ctime seja o horário de criação do arquivo. Isso não está correto, é o horário de alteração do inode/arquivo. mtime é o horário de modificação do arquivo. Uma pergunta frequentemente ouvida é "Qual é ctime, mtime e atime?". Isso é confuso, então deixe-me explicar a diferença entre ctime, mtime e atime. ctime
ctime é o tempo de alteração do inode ou arquivo. O ctime é atualizado quando os atributos do arquivo são alterados, como alterar o proprietário, alterar a permissão ou mover o arquivo para outro sistema de arquivos, mas também será atualizado quando você modificar um arquivo.
mtime
mtime é o horário de modificação do arquivo. O mtime é atualizado quando você modifica um arquivo. Sempre que você atualiza o conteúdo de um arquivo ou salva um arquivo, o mtime é atualizado.
Na maioria das vezes, ctime e mtime serão iguais, a menos que apenas os atributos do arquivo sejam atualizados. Nesse caso, apenas o ctime é atualizado.
um tempo
atime é o tempo de acesso ao arquivo. O atime é atualizado quando você abre um arquivo, mas também quando um arquivo é usado para outras operações como grep, sort, cat, head, tail e assim por diante.
cygwin pode mostrar 4 carimbos de data/hora, assim como timestomp
c:\blah>timestomp a.a -v
Modified: Tuesday 9/15/2015 17:23:33
Accessed: Saturday 12/6/2014 4:49:51
Created: Saturday 12/6/2014 4:49:51
Entry Modified: Tuesday 9/15/2015 17:23:33
-
$ stat a.a
File: 'a.a'
Size: 45 Blocks: 4 IO Block: 65536 regular file
Device: b411d580h/3021067648d Inode: 102738366499454027 Links: 1
Access: (0070/----rwx---) Uid: ( 1000/ harvey) Gid: ( 513/ None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
Birth: 2014-12-06 03:49:51.714329000 +0000
Aparentemente setMACE é como timestomp, mas melhor. No entanto, não consigo vê-lo mostrando os 8 carimbos de data/hora. E a descrição do setMACE mencionou MFTCRD que mostra os carimbos de data/hora.
Você pode obter MFTRCRD aquihttps://github.com/jschicht/MftRcrd
O Github parece um pouco estranho, não clique com o botão direito e salve como, caso contrário é um arquivo HTML com extensão EXE. E quando você tenta executá-lo no cmd você recebe um erro no cmd sobre 64 bits e 32 bits. Tente clicar com o botão esquerdo e a próxima página fornecerá o download do arquivo real. E você precisa estar em um prompt de comando administrativo, caso contrário, receberá uma mensagem sobre se você confia nos programas deste editor e, se disser sim, uma janela cmd aparecerá e aparecerá (e se cmd /k ou não). Mas funciona bem em um prompt administrativo do cmd.
ADICIONADO
Alguns sistemas de arquivos Linux modernos armazenam o tempo de criação de arquivos. (pode ser conhecido como crtime. Definitivamente não é ctime, pelos motivos mencionados acima)
https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file