変更されたファイルのタイムスタンプメタデータにアクセスする方法
NTFSファイルのタイムスタンプメタデータに次のものが含まれていることを理解しています。
- 作成した
- アクセス済み
- 変更
このデータには、WindowsエクスプローラーUIおよびその他の場所からアクセスできます。
ただし、タイムスタンプのメタデータには次のものが含まれていると思います
- かわった
明らかに、変更されたタイムスタンプは、ファイルのマスターファイルテーブルエントリが変更されたときです( https://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-started/ を参照) 。
この値にアクセスするにはどうすればよいですか?
私の調査結果によると、MFTタイムスタンプとも呼ばれるファイル変更時間フィールドは、作成、変更、アクセスの3つの標準時間を返すだけの標準API関数を使用して取得されません。
変更時刻を取得するには、ファイルのMFTエントリを読み取り、自分で分析する必要があります。
TechnetですべてのMFTデータを取得するPowerShellスクリプトの例を見つけることができます。
ファイルのMFT(ChangeTime)タイムスタンプを取得 。
著者によるこのスクリプトの説明は、記事にあります。
PowerShellを使用してファイルのMFTタイムスタンプを検索する 。