在Windows NTFS系统上寻找验证文件年龄(CREATION和LAST MODIFIED日期)的方法,特别是比标准Windows文件时间/日期戳更不容易操作的内容。
据我所知,这是不可能的,除非有可追踪的备份历史记录,但希望其他人可能有领导或想法?或者,如果需要进行法医调查,可能需要哪些类型的工具(或转发给SF湾地区的法医调查员)。
有问题的用例是能够证明旧版Windows 7计算机上的一组特定文件是在"文件创建"指定的时间创建的。每个文件的日期。
答案 0 :(得分:0)
NTFS具有USN日志,用于跟踪卷的所有更改。据我所知,它通常在Windows 7上禁用 - 但您可以随时检查。
每个更改都记录在包含更改类型和更改对象的记录中。
您可以使用" fsutil usn"来管理和查询USN。工具