Насколько я понимаю, метаданные временной метки файла NTFS включают в себя следующее:
- Созданный
- Доступно
- Измененный
Эти данные доступны в пользовательском интерфейсе проводника Windows и в других местах.
Однако я считаю, что метаданные временной метки включают в себя
- Измененный
По-видимому, временная метка Changed указывает на время изменения записи в таблице основных файлов (см.https://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/).
Как я могу получить доступ к этому значению?
решение1
Согласно моим выводам, поле времени изменения файла, также называемое временной меткой MFT, не извлекается с помощью стандартных функций API, которые возвращают только три стандартных времени: создания, изменения и доступа.
Чтобы узнать время изменения, вам необходимо прочитать запись MFT файла и проанализировать ее самостоятельно.
Пример скрипта PowerShell, который извлекает все данные MFT, можно найти на сайте Technet:
Получить временную метку MFT (ChangeTime) файла(ссылка для скачивания).
Объяснение этого сценария автором можно найти в статье:
Поиск временной метки MFT файла с помощью PowerShell.