পরিবর্তিত ফাইল টাইমস্ট্যাম্প মেটাডেটা কীভাবে অ্যাক্সেস করবেন

আমি বুঝতে পারি এনটিএফএস ফাইল টাইমস্ট্যাম্প মেটাডেটাতে নিম্নলিখিতগুলি অন্তর্ভুক্ত রয়েছে:

• নির্মিত
• অ্যাকসেসড
• সংশোধিত

এই ডেটাটি উইন্ডোজ এক্সপ্লোরার ইউআই এবং অন্য কোথাও অ্যাক্সেসযোগ্য।

তবে আমি বিশ্বাস করি টাইমস্ট্যাম্প মেটাডেটা অন্তর্ভুক্ত

• পরিবর্তিত

দৃশ্যত পরিবর্তিত টাইমস্ট্যাম্পটি যখন ফাইলটির মাস্টার ফাইল টেবিল এন্ট্রি পরিবর্তন করা হয়েছিল (দেখুন https://app.pluralsight.com/library/courses/digital-forensics-file-systems-getting-st সূত্র / )।

এই মানটিতে আমি কীভাবে অ্যাক্সেস পেতে পারি?

আমার অনুসন্ধান অনুসারে, এমএফটি টাইমস্ট্যাম্প নামে পরিচিত ফাইল চেঞ্জ টাইম ফিল্ডটি স্ট্যান্ডার্ড এপিআই ফাংশন ব্যবহার করে পুনরুদ্ধার করা যায় না, এটি কেবল তৈরি, পরিবর্তিত ও অ্যাক্সেসের তিনটি স্ট্যান্ডার্ড সময়কে ফিরিয়ে দেয়।

পরিবর্তনের সময় পাওয়ার জন্য আপনাকে ফাইলটির এমএফটি এন্ট্রিটি পড়তে হবে এবং এটি নিজে বিশ্লেষণ করতে হবে।

: আপনি একটা উদাহরণ PowerShell স্ক্রিপ্ট যে TechNet সমস্ত MFT তথ্য আহরণ পাবেন
পান MFT (ChangeTime) একটি ফাইলের টাইমস্ট্যাম্প ।

লেখকের এই স্ক্রিপ্টের একটি ব্যাখ্যা নিবন্ধে পাওয়া গেছে:
পাওয়ারশেল ব্যবহার করে কোনও ফাইলের এমএফটি টাইমস্ট্যাম্প সন্ধান করা ।