只要有人访问文件以便读取其内容。然而,这意味着文件的MACE属性立即发生变化!这对取证非常的有好处。
MACE 是:Modified-Accessed-Created-Entry 这四个单词的缩写!
Modified:修改时间
Accessed:访问时间
Created:创建时间
Entry Modified: 条目修改时间
修改、访问、创建时间这几个大家都能理解!
可能“条目修改时间”很多人不懂,我特意给大家详细讲一下:
修改的条目是指当该文件的MFT条目是上次更改时。由于MFT条目包含大量关于文件的信息,包括大小,名称,磁盘上的位置,父文件夹,创建日期等,所以更改其中任何一项也应该更改“修改条目”日期。例如重命名文件,移动文件(碎片整理 - 在磁盘上移动它,或将其移动到不同的文件夹中),或增加文件大小。
想具体看“条目修改时间”的,可以用取证工具:EnCase!