我了解 NTFS 文件时间戳元数据包括以下内容:
- 创建
- 访问时间
- 修改的
该数据可在 Windows 资源管理器 UI 和其他地方访问。
然而,我相信时间戳元数据包括
- 已更改
显然,更改时间戳是文件的主文件表条目发生更改的时间(参见https://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/)。
我怎样才能获取该值?
答案1
根据我的发现,文件更改时间字段(也称为 MFT 时间戳)不能通过使用标准 API 函数来检索,这些函数仅返回创建、修改和访问三个标准时间。
要获取更改时间,您需要读取文件的MFT条目并自行分析。
您将在 Technet 中找到一个检索所有 MFT 数据的示例 PowerShell 脚本:
获取文件的 MFT(ChangeTime)时间戳(下载链接)。
作者对该脚本的解释可以在文章中找到:
使用 PowerShell 查找文件的 MFT 时间戳。