Este comando pode fazer isso
MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Quanto a como eu conhecia os parâmetros, bem, fazer MFTCRD disse que há 4 parâmetros e deu um exemplo de MFTRCRD C:\boot.ini -d indxdump=off 1024 -s , então você pode mudar para qualquer nome de arquivo / caminho.
C:\blah>MFTRCRD.exe c:\crp\a.a -d indxdump=off 1024 -s
Starting MFTRCRD by Joakim Schicht
Version 1.0.0.37
Target is a File
Filesystem on c: is NTFS
File IndexNumber: 64587
............................
$STANDARD_INFORMATION 1:
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2015-09-15 16:23:33:791:7170
MFT Entry modified Time (MTime): 2015-09-15 16:23:33:791:7170
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
...........
$FILE_NAME 1:
Parent MFTReference: 80564
ParentSequenceNo: 10
File Create Time (CTime): 2014-12-06 03:49:51:714:3290
File Modified Time (ATime): 2014-12-06 03:49:51:794:3335
MFT Entry modified Time (MTime): 2014-12-06 03:49:51:794:3335
File Last Access Time (RTime): 2014-12-06 03:49:51:794:3335
(note que as abreviações do MFTRCRD do ATime para modificadas e outras, como o Rtime, parecem realmente absurdas, por exemplo, o googling Rtime não mostra nada. Então você pode ignorar as abreviações que esse comando lhe dá e seguir as descrições. são abreviações que o linux usa (MAC) e que o Windows NTFS usa (MACE) que eu descrevo abaixo
O Linux não armazena a hora em que o arquivo foi criado. (atualizado - alguns sistemas de arquivos linux modernos fazem, veja nota no final) O Windows faz o tempo de criação.
Parece que o Linux tem 3 vezes. Horário MAC. mtime atime ctime. No Linux, o ctime é alterado em vez do tempo de criação, e o tempo 'alterado', no linux, é diferente do arquivo que está sendo modificado (o horário modificado). O tempo alterado no linux é quando a entrada no sistema de arquivos foi alterada, por ex. quando / mesmo quando, as permissões do arquivo mudam, então o ctime no linux muda.
O Windows NTFS usa o MACE e o C no MACE é criação. O E no MACE parece ser como o c no linux, ou seja, o E no MACE é a entrada que está sendo alterada.
http://forensicswiki.org/wiki/MAC_times MAC times The term MAC times refers to the timestamps of the latest modification (mtime) or last written time, access (atime) or change (ctime) of a certain file.
Unix systems maintain the historical interpretation of ctime as the time when certain file metadata, not its contents, were last changed, such as the file's permissions or owner (e.g. 'This files metadata was changed on 05/05/02 12:15pm').
Windows systems are the only systems that use birth (btime) or creation (crtime) time (e.g. 'This file was created on 05/05/02 12:15pm'). Hence MACB; Modification, Access, Change and Birth.
Além disso, o uso do linux para o contraste é benéfico.
http://www.linux-faqs.info/general/difference-between-mtime-ctime-and-atime
A common mistake is that ctime is the file creation time. This is not correct, it is the inode/file change time. mtime is the file modification time. A often heard question is "What is the ctime, mtime and atime?".This is confusing so let me explain the difference between ctime, mtime and atime. ctime
ctime is the inode or file change time. The ctime gets updated when the file attributes are changed, like changing the owner, changing the permission or moving the file to an other filesystem but will also be updated when you modify a file.
mtime
mtime is the file modify time. The mtime gets updated when you modify a file. Whenever you update content of a file or save a file the mtime gets updated.
Most of the times ctime and mtime will be the same, unless only the file attributes are updated. In that case only the ctime gets updated.
atime
atime is the file access time. The atime gets updated when you open a file but also when a file is used for other operations like grep, sort, cat, head, tail and so on.
cygwin pode mostrar 4 carimbos de hora, como pode timestomp
c:\blah>timestomp a.a -v
Modified: Tuesday 9/15/2015 17:23:33
Accessed: Saturday 12/6/2014 4:49:51
Created: Saturday 12/6/2014 4:49:51
Entry Modified: Tuesday 9/15/2015 17:23:33
-
$ stat a.a
File: 'a.a'
Size: 45 Blocks: 4 IO Block: 65536 regular file
Device: b411d580h/3021067648d Inode: 102738366499454027 Links: 1
Access: (0070/----rwx---) Uid: ( 1000/ harvey) Gid: ( 513/ None)
Access: 2014-12-06 03:49:51.794333500 +0000
Modify: 2015-09-15 17:23:33.791717000 +0100
Change: 2015-09-15 17:23:33.791717000 +0100
Birth: 2014-12-06 03:49:51.714329000 +0000
Aparentemente setMACE é como timestomp mas melhor. No entanto, não consigo ver os 8 timestamps. E a descrição do setMACE mencionou o MFTCRD que mostra os timestamps.
Você pode obter a MFTRCRD aqui link
O Github parece ser um pouco estranho, não clique com o botão direito e salve como, senão é um arquivo HTML com extensão EXE. E quando você tenta executá-lo no cmd você recebe um erro no cmd de cerca de 64 bits e 32 bits. Tente clicar com o botão esquerdo, então a próxima página dá-lhe um download do arquivo real. E você precisa estar em um prompt de comando administrativo, caso contrário, você recebe uma mensagem sobre você confia programas deste editor, e se você diz sim, em seguida, uma janela cmd pisca e vai (e se cmd / k ou não). Mas funciona bem a partir de um prompt cmd administrativo.
ADICIONADO
Alguns sistemas de arquivos linux modernos armazenam o tempo de criação de arquivos. (pode ser conhecido como crtime. Definitivamente não é ctime, pelas razões mencionadas acima)