Я понимаю, что существует 8 временных меток NTFS.
http://www.governmentsecurity.org/forum/topic/30896-frustrating-ntfs-time-stamp-forensics/
Значения NTFS MACE (изменено, получено, создано и изменена запись MFT). NTFS поставляется с 8 значениями временных меток, 4 из которых находятся в атрибуте $Standard_Information (SI), а остальные 4 — в атрибуте $FILE_NAME (FN) записи MFT.
Как мне отобразить все 8?
решение1
Эта команда может это сделать
MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Что касается того, как я узнал параметры, ну, выполнение MFTCRD сказало, что есть 4 параметра, и дало пример, MFTRCRD C:\boot.ini -d indxdump=off 1024 -s
чтобы вы могли изменить любое имя файла/путь.
C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37
Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........
$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
(обратите внимание, что эти сокращения из MFTRCRD ATime для измененных и других, таких как Rtime, выглядят действительно абсурдно, например, поиск в Google Rtime ничего не покажет. Поэтому вы можете игнорировать сокращения, которые выдает эта команда, и следовать описаниям. Но есть сокращения, которые использует Linux (MAC) и которые использует Windows NTFS (MACE), которые я опишу ниже)
Linux не хранит время создания файла. (Обновлено — некоторые современные файловые системы Linux хранят, см. примечание в конце) Windows хранит время создания.
Похоже, что в Linux есть 3 времени. MAC time. mtime atime ctime . В Linux ctime — это время изменения, а не время создания, а время «изменения» в Linux отличается от времени изменения файла (времени изменения). Время изменения в Linux — это время, когда запись в файловой системе была изменена, например, когда / даже когда изменяются права доступа к файлу, тогда ctime в Linux изменяется.
Windows NTFS использует MACE, а C в MACE — это создание. E в MACE похоже на c в linux, то есть E в MACE — это изменяемая запись.
http://forensicswiki.org/wiki/MAC_timesТермин «время MAC» относится к временным меткам последней модификации (mtime) или времени последней записи, доступа (atime) или изменения (ctime) определенного файла.
Системы Unix сохраняют историческую интерпретацию ctime как времени последнего изменения определенных метаданных файла, а не его содержимого, например, прав доступа к файлу или владельца (например, «Метаданные этого файла были изменены 05.05.02 в 12:15»).
Системы Windows являются единственными системами, которые используют время рождения (btime) или создания (crtime) (например, «Этот файл был создан 05/05/02 12:15pm»). Отсюда MACB; Изменение, Доступ, Изменение и Рождение.
Дальнейший взгляд на Linux для контраста полезен.
http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime
Распространенная ошибка заключается в том, что ctime — это время создания файла. Это неправильно, это время изменения inode/файла. mtime — это время изменения файла. Часто задают вопрос: «Что такое ctime, mtime и atime?». Это сбивает с толку, поэтому позвольте мне объяснить разницу между ctime, mtime и atime. ctime
ctime — это время изменения inode или файла. Ctime обновляется при изменении атрибутов файла, например, при смене владельца, изменении разрешения или перемещении файла в другую файловую систему, но также будет обновляться при изменении файла.
mtime
mtime — это время изменения файла. Mtime обновляется, когда вы изменяете файл. Каждый раз, когда вы обновляете содержимое файла или сохраняете файл, mtime обновляется.
В большинстве случаев ctime и mtime будут одинаковыми, если только не обновляются только атрибуты файла. В этом случае обновляется только ctime.
время
atime — это время доступа к файлу. Atime обновляется, когда вы открываете файл, а также когда файл используется для других операций, таких как grep, sort, cat, head, tail и т. д.
cygwin может показывать 4 временные метки, как и timestomp
c:\blah>timestomp a.a -v
Modified: Tuesday 9/15/2015 17:23:33
Accessed: Saturday 12/6/2014 4:49:51
Created: Saturday 12/6/2014 4:49:51
Entry Modified: Tuesday 9/15/2015 17:23:33
-
$ stat a.a
File: 'a.a'
Size: 45 Blocks: 4 IO Block: 65536 regular file
Device: b411d580h/3021067648d Inode: 102738366499454027 Links: 1
Access: (0070/----rwx---) Uid: ( 1000/ harvey) Gid: ( 513/ None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
Birth: 2014-12-06 03:49:51.714329000 +0000
По-видимому, setMACE похож на timestomp, но лучше. Однако я не вижу, чтобы он показывал 8 временных меток. А в описании setMACE упоминается MFTCRD, который показывает временные метки.
Вы можете получить MFTRCRD здесьhttps://github.com/jschicht/MftRcrd
Github кажется немного странным, не щелкайте правой кнопкой мыши и не сохраняйте как, иначе это будет HTML-файл с расширением EXE. И когда вы пытаетесь запустить его в cmd, вы получаете ошибку в cmd о 64-битной и 32-битной. Попробуйте щелкнуть левой кнопкой мыши, тогда на следующей странице вы получите загрузку фактического файла. И вам нужно быть в административной командной строке, иначе вы получите сообщение о том, доверяете ли вы программам этого издателя, и если вы ответите «да», то окно cmd мигает и исчезает (и cmd /k или нет). Но это нормально работает из административной командной строки.
ДОБАВЛЕН
Некоторые современные файловые системы Linux хранят время создания файла. (может быть известно как crtime. Определенно не ctime, по причинам, указанным выше)
https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file