Как отобразить все 8 временных меток NTFS?

эта команда может сделать это

MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Что касается того, как я знал параметры, ну, делать MFTCRD сказал, что есть 4 параметра и дал пример MFTRCRD C:\boot.ini -d indxdump=off 1024 -s так что вы можете изменить любое имя файла/путь.

C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s

Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37

Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........

$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335

(обратите внимание, что эти аббревиатуры из MFTRCRD ATime для модифицированных и других, таких как Rtime, выглядят действительно абсурдно, например, Google Rtime ничего не показывает. Таким образом, вы можете игнорировать аббревиатуры, которые дает эта команда, и описания. Но есть сокращения, которые использует linux (MAC) и Windows NTFS (MACE), которые я описываю ниже)

Linux не сохраняет время создания файла. (обновлено - некоторые современные файловые системы linux, см. Примечание В конце) Windows делает время создания.

это выглядит как Linux имеет 3 раза. Время мака. время изменения времени чтимы . В Linux, чтимы изменяется время, а не время создания, а "меняется" время, в Linux отличается от файла, изменения (изменено время). Измененное время в linux-это когда запись в файловой системе была изменена, например, когда / даже когда меняются разрешения на файл, а затем изменяется ctime в linux.

Windows NTFS использует булаву и C в Булаве является создание. E в Булаве, похоже, похож на c в linux, т. е. E в Булаве-это изменяемая запись.

http://forensicswiki.org/wiki/MAC_times Mac времени термин МАК раз относится к меткам времени последней модификации (mtime) или последней время записи, доступ (atime) или изменение (ctime) определенного файла.

системы Unix поддерживают историческую интерпретацию ctime как время последнего изменения определенных метаданных файла, а не его содержимого, например, разрешения или владелец файла (например, " метаданные этих файлов были поменял на 05/05/02 12:15 вечера').

системы Windows являются единственными системами, которые используют рождение (btime) или время создания (crtime) (например, ' This файл был создан на 05/05/02 12:15 вечера'). Следовательно, MACB; модификация, доступ, изменение и рождение.

более Дальнеиший взгляд на Линукс для контраста полезн.

http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime

распространенная ошибка заключается в том, что ctime-это время создания файла. Это не правильно, это время изменения inode/file. это время изменения файла время модификации. Часто слышимый вопрос: "Что такое ctime, mtime а время?".Это сбивает с толку, поэтому позвольте мне объяснить разницу между ctime, mtime и atime. ctime

ctime-время изменения inode или файла. Атрибут ctime обновляется, когда атрибуты файла изменяются, как изменение владельца, изменение разрешение или перемещение файла в другую файловую систему, но также будет обновляется при изменении файла.

mtime

mtime время изменения файла. На время изменения получает обновляется при изменении папка. Всякий раз, когда вы обновляете содержимое файла или сохранить файл mtime обновляется.

в большинстве случаев ctime и mtime будут одинаковыми, если только обновляются атрибуты файлов. В этом случае обновляется только ctime.

atime

atime-время доступа к файлу. Время обновляется при открытии файл, но также, когда файл используется для других операций, таких как grep, вроде, кошка, голова, хвост и так на.

cygwin может показать 4 метки времени, как может timestomp

c:\blah>timestomp a.a -v
Modified:                 Tuesday 9/15/2015 17:23:33
Accessed:                Saturday 12/6/2014 4:49:51
Created:                 Saturday 12/6/2014 4:49:51
Entry Modified:           Tuesday 9/15/2015 17:23:33

-

$ stat a.a
  File: 'a.a'
  Size: 45              Blocks: 4          IO Block: 65536  regular file
Device: b411d580h/3021067648d   Inode: 102738366499454027  Links: 1
Access: (0070/----rwx---)  Uid: ( 1000/  harvey)   Gid: (  513/    None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
 Birth: 2014-12-06 03:49:51.714329000 +0000

видимо setMACE как timestomp но лучше. Однако я не вижу, чтобы он показывал 8 временных меток. И описание setMACE упомянул MFTCRD, что показывает время.

вы можете получить MFTRCRD отсюда https://github.com/jschicht/MftRcrd

Github, кажется, немного странно, не щелкните правой кнопкой мыши и сохранить как, в противном случае это HTML файл с расширением EXE. И когда вы пытаетесь запустить его на cmd, вы получаете ошибку на cmd о 64bit и 32bit. Попробуйте щелкнуть его левой кнопкой мыши, а затем на следующей странице вы получите загрузку фактического файла. И вам нужно быть в командной строке администратора, иначе вы получите сообщение о том, доверяете ли вы программам от этого издателя, и если вы скажете "да", то окно cmd вспыхнет и пойдет(и будет ли cmd /k или нет). Но он отлично работает из административной cmd проворный.

добавил

некоторые современные файловые системы Linux хранят время создания файла. (может быть известен как crtime. Определенно не ctime, по причинам, упомянутым выше)

https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file