了解事件回應證據收集劇本、收集證據任務以及趨勢科技事件回應工具包在檔案時間軸類別中收集的證據類型。
|
證據資料防護
|
說明
|
|
建立時間 ($FN)
|
根據 NTFS $FILE_NAME 屬性,該檔案的建立時間和日期。
|
|
路徑
|
檔案的絕對路徑。
|
|
修改時間 ($FN)
|
根據 NTFS $FILE_NAME 屬性,該檔案最後修改的時間和日期。
|
|
存取時間 ($FN)
|
根據 NTFS $FILE_NAME 屬性,檔案上次存取的時間和日期。
|
|
記錄時間 ($FN)
|
根據 NTFS $FILE_NAME 屬性,該文件的 MFT 條目的最後修改時間和日期(通常反映元數據的變更)。
|
|
目錄
|
檔案所在的目錄。
|
|
檔名稱
|
檔案路徑的名稱部分。
|
|
Inode
|
檔案系統索引節點的數字(在 NTFS 中通常稱為 MFT 記錄號)。
|
|
檔案 ID
|
分配給檔案在檔案系統中的唯一識別碼值。
|
|
UID
|
檔案擁有者的使用者 ID (UID)。
|
|
屬性
|
定義檔案屬性的一個字串或一組標誌(例如,唯讀、隱藏、系統)。
|
|
符號連結
|
指示檔案路徑是否為符號連結。
|
|
類型
|
檔案項目的類型(例如,常規檔案、目錄、符號連結)。
|
|
建立時間 ($STD)
|
根據 NTFS $STANDARD_INFORMATION 屬性,檔案的建立時間和日期。
|
|
修改時間 ($STD)
|
根據 NTFS $STANDARD_INFORMATION 屬性,檔案最後修改的時間和日期。
|
|
存取時間 ($STD)
|
根據 NTFS $STANDARD_INFORMATION 屬性,檔案上次存取的時間和日期。
|
|
MFT 變更時間 ($STD)
|
根據 NTFS $STANDARD_INFORMATION 屬性,檔案的 MFT 項目最後修改的時間和日期。
|
|
硬連結
|
指向檔案的硬連結數量。
|
|
檔案版本
|
與檔案相關的版本號碼(如果有的話,通常與可執行檔或程式庫相關)。
|
|
大小
|
檔案的大小,通常以位元組為單位測量。
|