यह कमांड कर सकता है
MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
जैसा कि मैं मापदंडों को जानता था, ठीक है, एमएफटीसीआरडी ने कहा कि 4 पैरामीटर हैं और एक उदाहरण दिया MFTRCRD C:\boot.ini -d indxdump=off 1024 -s ताकि आप जो भी फ़ाइल नाम / पथ बदल सकते हैं।
C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37
Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........
$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
(संशोधित करें और दूसरों के लिए ATIME के MFTRCRD से उन संक्षिप्तीकरणों पर ध्यान दें, जैसे कि RIME, वास्तव में बेतुका लगता है, जैसे googling RIME कुछ भी नहीं दिखाता है। इसलिए आप उन संक्षिप्तीकरणों को अनदेखा कर सकते हैं जो कि कमांड आपको देता है और विवरणों द्वारा जाता है। linux (MAC) का उपयोग करता है और जो विंडोज़ NTFS का उपयोग करता है (MACE) जिसका मैं नीचे वर्णन करता हूं)
लिनक्स उस समय को संग्रहीत नहीं करता है जब फ़ाइल बनाई गई थी। (अद्यतन- कुछ आधुनिक लिनक्स फ़ाइल सिस्टम करते हैं, अंत में ध्यान दें देखें) विंडोज निर्माण समय।
ऐसा लगता है कि लिनक्स 3 बार है। मैक समय। माइम atime ctime। लिनक्स में, सृजन के समय के बजाय, समय को बदल दिया जाता है, और 'परिवर्तित' समय के अनुसार, लिनक्स में फ़ाइल को संशोधित (संशोधित समय) होने के लिए अलग है। लिनक्स में परिवर्तित समय तब होता है जब फ़ाइल सिस्टम में प्रविष्टि जैसे परिवर्तित हो जाती है, जैसे / जब भी, फ़ाइल अनुमतियाँ बदलती हैं, तब लिनक्स में समय बदल जाता है।
Windows NTFS MACE का उपयोग करता है और MACE में C सृजन है। MACE में E, linux में c की तरह प्रतीत होता है अर्थात MACE में E प्रविष्टि बदली जा रही है।
http://forensicswiki.org/wiki/MAC_times MAC बार टर्म शब्द का समय किसी निश्चित फ़ाइल के नवीनतम संशोधन (माइम) या अंतिम लिखित समय, पहुंच (एटाइम) या परिवर्तन (समय) के टाइमस्टैम्प को संदर्भित करता है।
यूनिक्स सिस्टम उस समय के रूप में समय की ऐतिहासिक व्याख्या को बनाए रखता है जब कुछ फ़ाइल मेटाडेटा, न कि इसकी सामग्री, अंतिम रूप से बदल दी गई थी, जैसे कि फ़ाइल की अनुमति या स्वामी (जैसे 'यह फ़ाइलें मेटाडेटा 05/05/02 12:15 बजे बदल दी गई थी') ।
विंडोज सिस्टम एकमात्र ऐसी प्रणाली है जो जन्म (btime) या निर्माण (crtime) समय का उपयोग करती है (जैसे 'यह फ़ाइल 05/05/02 12:15 pm पर बनाई गई थी')। इसलिए MACB; संशोधन, पहुंच, परिवर्तन और जन्म।
इसके विपरीत के लिए linux पर आगे देखना फायदेमंद है।
http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime
एक सामान्य गलती यह है कि ctime फ़ाइल निर्माण का समय है। यह सही नहीं है, यह इनकोड / फाइल चेंज टाइम है। mtime फ़ाइल संशोधन समय है। एक अक्सर सुना जाने वाला प्रश्न है "क्या समय, समय और समय क्या है?" यह भ्रामक है इसलिए मुझे समय, समय और समय के बीच का अंतर समझाएं। ctime
ctime इनकोड या फ़ाइल परिवर्तन समय है। फ़ाइल विशेषताएँ बदली जाने पर समय अपडेट हो जाता है, जैसे स्वामी को बदलना, अनुमति बदलना या फ़ाइल को किसी अन्य फ़ाइल सिस्टम में ले जाना, लेकिन फ़ाइल को संशोधित करते समय भी अपडेट किया जाएगा।
mtime
mtime फ़ाइल संशोधित समय है। जब आप किसी फ़ाइल को संशोधित करते हैं तो माइम अपडेट हो जाता है। जब भी आप किसी फाइल की सामग्री को अपडेट करते हैं या किसी फाइल को सेव करते हैं तो माइम अपडेट हो जाता है।
ज्यादातर समय ctime और mtime एक ही होगा, जब तक कि केवल फ़ाइल विशेषताएँ अपडेट नहीं की जाती हैं। उस स्थिति में केवल ctime अपडेट हो जाता है।
एक वक़्त
atime फ़ाइल का उपयोग समय है। जब आप किसी फ़ाइल को खोलते हैं, तो उस समय अपडेट हो जाता है, लेकिन जब किसी फ़ाइल का उपयोग अन्य कार्यों जैसे कि grep, सॉर्ट, कैट, हेड, टेल इत्यादि के लिए किया जाता है।
साइबर टाइम 4 टाइम स्टैम्प दिखा सकता है, जैसा कि टाइमस्टंप हो सकता है
c:\blah>timestomp a.a -v
Modified: Tuesday 9/15/2015 17:23:33
Accessed: Saturday 12/6/2014 4:49:51
Created: Saturday 12/6/2014 4:49:51
Entry Modified: Tuesday 9/15/2015 17:23:33
-
$ stat a.a
File: 'a.a'
Size: 45 Blocks: 4 IO Block: 65536 regular file
Device: b411d580h/3021067648d Inode: 102738366499454027 Links: 1
Access: (0070/----rwx---) Uid: ( 1000/ harvey) Gid: ( 513/ None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
Birth: 2014-12-06 03:49:51.714329000 +0000
जाहिरा तौर पर सेटमेस टाइमस्टंप की तरह है लेकिन बेहतर है। हालाँकि, मैं इसे 8 टाइमस्टैम्प दिखाते हुए नहीं देख सकता। और सेटमैक्स विवरण में MFTCRD का उल्लेख किया गया है जो टाइमस्टैम्प दिखाता है।
आप यहाँ से MFTRCRD https://github.com/jschicht/MftRcrd प्राप्त कर सकते हैं
Github थोड़ा अजीब लगता है, राइट क्लिक न करें और इसे सेव करें, अन्यथा यह एक्सटेंशन EXE के साथ एक HTML फ़ाइल है। और जब आप इसे cmd पर चलाने का प्रयास करते हैं तो आपको cmd पर एक त्रुटि मिलती है 64bit और 32bit के बारे में। इसे क्लिक करने की कोशिश करें फिर अगला पृष्ठ आपको वास्तविक फ़ाइल का डाउनलोड देता है। और आपको एक प्रशासनिक कमांड प्रॉम्प्ट में रहने की आवश्यकता है, अन्यथा आपको इस प्रकाशक से कार्यक्रमों पर भरोसा करने के बारे में एक संदेश मिलता है, और यदि आप हाँ कहते हैं तो एक cmd विंडो ऊपर चमकती है और जाती है (और चाहे cmd / k या नहीं)। लेकिन यह प्रशासनिक cmd प्रॉम्प्ट से ठीक काम करता है।
जोड़ा
कुछ आधुनिक लिनक्स फ़ाइल सिस्टम फ़ाइल निर्माण समय को संग्रहीत करते हैं। (क्राइम के रूप में जाना जा सकता है। निश्चित रूप से ऊपर वर्णित कारणों के लिए, निश्चित रूप से नहीं,
https://unix.stackexchange.com/questions/91197/how-to-find-creation-date-of-file