據我所知,NTFS時間戳有8個
http://www.governmentsecurity.org/forum/topic/30896-frustrating-ntfs-time-stamp-forensics/
NTFS MACE(已修改、已存取、已建立和 MFT 條目已修改)值。 NTFS 隨附 8 個時間戳值,其中 4 個駐留在 MFT 條目的 $Standard_Information 屬性 (SI) 中,另外 4 個駐留在 MFT 條目的 $FILE_NAME (FN) 屬性中。
如何顯示全部 8 個?
答案1
這個指令可以做到
MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
至於我是如何知道參數的,嗯,做 MFTCRD 說有 4 個參數,並給了一個例子,MFTRCRD C:\boot.ini -d indxdump=off 1024 -s 這樣你就可以更改任何檔案名稱/路徑。
C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37
Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........
$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
(請注意ATime 的MFTRCRD 中用於修改的縮寫和其他縮寫,例如Rtime,看起來非常荒謬,例如穀歌搜尋Rtime 不會顯示任何內容。因此您可以忽略該命令為您提供的縮寫並按照說明進行操作。
Linux 不儲存檔案的建立時間。 (更新 - 一些現代 Linux 檔案系統會這樣做,請參閱最後的註解)Windows 會執行建立時間。
Linux好像有3次。 MAC時間。 mtime atime ctime 。在Linux中,ctime是更改時間,而不是建立時間,Linux中的「更改」時間與正在修改的檔案(修改時間)不同。 Linux 中的變更時間是檔案系統中的條目發生變更的時間,例如當/甚至當檔案權限變更時,然後 Linux 中的 ctime 發生變更。
Windows NTFS使用MACE,MACE中的C是creation。 MACE 中的 E 看起來就像 linux 中的 c,即 MACE 中的 E 是被更改的條目。
http://forensicswiki.org/wiki/MAC_timesMAC 時間 MAC 時間一詞是指某個檔案的最近修改時間 (mtime) 或上次寫入時間 (atime) 或更改時間 (ctime) 的時間戳記。
Unix 系統將ctime 的歷史解釋保留為上次更改某些文件元資料(而不是其內容)的時間,例如文件的權限或擁有者(例如「此文件元資料於05/05/02 12:15pm 更改”) 。
Windows 系統是唯一使用出生 (btime) 或建立 (crtime) 時間的系統(例如「此檔案建立於 05/05/02 12:15pm」)。因此MACB;修改、存取、變更和誕生。
進一步看看linux進行比較是有好處的。
http://www.linux-faqs.info/general/difference- Between-mtime-ctime-and-atime
一個常見的錯誤是 ctime 是檔案建立時間。這是不正確的,這是inode/檔案更改時間。 mtime 是檔案修改時間。一個經常聽到的問題是「ctime、mtime 和 atime 是什麼?」。時間
ctime 是 inode 或檔案更改時間。當檔案屬性變更(例如變更擁有者、變更權限或將檔案移至其他檔案系統)時,ctime 會更新,但當您修改檔案時,ctime 也會更新。
時間
mtime 是檔案修改時間。當您修改檔案時,mtime 會更新。每當您更新文件內容或儲存文件時,mtime 都會更新。
大多數情況下,ctime 和 mtime 是相同的,除非僅更新檔案屬性。在這種情況下,只有 ctime 會更新。
阿泰姆
atime 是檔案存取時間。當您開啟檔案時,以及檔案用於 grep、sort、cat、head、tail 等其他操作時,atime 都會更新。
cygwin 可以顯示 4 個時間戳,timestamp 也可以
c:\blah>timestomp a.a -v
Modified: Tuesday 9/15/2015 17:23:33
Accessed: Saturday 12/6/2014 4:49:51
Created: Saturday 12/6/2014 4:49:51
Entry Modified: Tuesday 9/15/2015 17:23:33
-
$ stat a.a
File: 'a.a'
Size: 45 Blocks: 4 IO Block: 65536 regular file
Device: b411d580h/3021067648d Inode: 102738366499454027 Links: 1
Access: (0070/----rwx---) Uid: ( 1000/ harvey) Gid: ( 513/ None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
Birth: 2014-12-06 03:49:51.714329000 +0000
顯然 setMACE 就像 timestomp 但更好。但是,我看不到它顯示 8 個時間戳。 setMACE 描述提到了顯示時間戳記的 MFTCRD。
您可以從這裡取得 MFTRCRDhttps://github.com/jschicht/MftRcrd
Github好像有點奇怪,不要右鍵另存為,否則就是一個副檔名為EXE的HTML檔。當您嘗試在 cmd 上執行它時,您會在 cmd 上收到有關 64 位元和 32 位元的錯誤。嘗試左鍵單擊它,然後下一頁會為您提供實際文件的下載。並且您需要處於管理命令提示字元中,否則您會收到一條訊息,詢問您是否信任該發布者的程序,如果您說“是”,則cmd 視窗會閃爍並消失(無論是否輸入cmd /k) 。但它在管理命令提示字元下工作得很好。
添加
一些現代 Linux 檔案系統儲存檔案建立時間。 (可能被稱為 crtime。由於上述原因,絕對不是 ctime)
https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file