Cách truy cập siêu dữ liệu dấu thời gian tệp đã thay đổi

Tôi hiểu siêu dữ liệu dấu thời gian tệp NTFS bao gồm:

Tạo
Đã truy cập
Sửa đổi

Dữ liệu này có thể truy cập được trong Windows Explorer UI và các nơi khác.

Tuy nhiên, tôi tin rằng siêu dữ liệu dấu thời gian bao gồm

Thay đổi

Rõ ràng dấu thời gian đã thay đổi là khi mục nhập bảng tệp chính của tệp bị thay đổi (xem https://app.pluralsight.com ).

Làm thế nào tôi có thể truy cập vào giá trị này?

— fractor
nguồn

Bạn có cần truy cập cụ thể thông qua API Windows không?

— grawity

Cuối cùng, có thể. Tuy nhiên, ban đầu tôi chỉ muốn xem giá trị của nó để xem liệu nó có giúp ích gì cho những gì tôi đang cố gắng làm không. Tôi có một bản cài đặt đặt các tệp trên máy với Ngày đã tạo trong quá khứ. Tôi muốn có một cái nhìn vào dấu thời gian thay đổi và xem nếu nó mang lại một giá trị hữu ích hơn.

— fractor

Tôi đã đăng một câu hỏi liên quan đến Ngày tạo superuser.com/questions/1381364/

— fractor

Theo phát hiện của tôi, trường Thay đổi thời gian, cũng được gọi là Dấu thời gian MFT, không được truy xuất bằng cách sử dụng các hàm API tiêu chuẩn, chỉ trả về ba tiêu chuẩn thời gian tạo, sửa đổi và truy cập.

Để có được Thời gian thay đổi, bạn cần đọc mục MFT của tệp và tự mình phân tích

Bạn sẽ tìm thấy một tập lệnh PowerShell ví dụ lấy tất cả dữ liệu MFT trong Technet:
Nhận Dấu thời gian MFT (ChangeTime) của tệp .

Một lời giải thích về kịch bản này của tác giả được tìm thấy trong bài viết:
Tìm kiếm Dấu thời gian MFT Tệp bằng cách sử dụng PowerShell .

— harrymc
nguồn

Cảm ơn. Câu trả lời này đã dẫn tôi đến docs.microsoft.com/en-us/windows-hardware/drivers/ddi/content/iên trong đó trả về cấu trúc chứa giá trị ChangeTime mà trong các thử nghiệm cho đến nay đã xác định chính xác ngày tệp được đặt trên hệ thống tệp.

— fractor