Entendo que os metadados de carimbo de data/hora do arquivo NTFS incluem o seguinte:
- Criada
- Acessado
- Modificado
Esses dados podem ser acessados na interface do Windows Explorer e em outros lugares.
No entanto, acredito que os metadados do carimbo de data/hora incluem
- Mudado
Aparentemente, o carimbo de data e hora alterado é quando a entrada da tabela de arquivos mestre do arquivo foi alterada (consultehttps://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/).
Como posso ter acesso a este valor?
Responder1
De acordo com minhas descobertas, o campo Change Time do arquivo, também chamado de MFT Timestamp, não é recuperado usando funções padrão da API, que retornam apenas os três horários padrão de criação, modificação e acesso.
Para obter o Change Time, você precisa ler a entrada MFT do arquivo e analisá-la você mesmo.
Você encontrará um exemplo de script do PowerShell que recupera todos os dados do MFT no Technet:
Obtenha o carimbo de data / hora MFT (ChangeTime) de um arquivo(Link para Download).
Uma explicação deste script do autor é encontrada no artigo:
Encontrando o carimbo de data/hora MFT de um arquivo usando PowerShell.