據我了解 NTFS 檔案時間戳記資料包括以下內容:
- 已創建
- 已訪問
- 修改的
此資料可在 Windows 資源管理器 UI 和其他地方存取。
但是,我相信時間戳元資料包括
- 改變了
顯然,更改時間戳是文件的主文件表條目更改的時間(請參閱https://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/)。
我怎麼才能得到這個值?
答案1
根據我的發現,文件更改時間字段(也稱為 MFT 時間戳記)不是使用標準 API 函數檢索的,該函數僅返回創建、修改和訪問的三個標準時間。
要取得更改時間,您需要讀取檔案的MFT條目並自行分析。
您將在 Technet 中找到一個範例 PowerShell 腳本,用於擷取所有 MFT 資料:
取得檔案的 MFT (ChangeTime) 時間戳(下載連結)。
作者對此腳本的解釋可以在文章中找到:
使用 PowerShell 尋找文件的 MFT 時間戳。