文件四属性(MACE)各代表什么?又是什么意思?

只要有人访问文件以便读取其内容。然而,这意味着文件的MACE属性立即发生变化!这对取证非常的有好处。

 

MACE 是:Modified-Accessed-Created-Entry 这四个单词的缩写!

 

Modified:修改时间

Accessed:访问时间

Created:创建时间

Entry Modified: 条目修改时间

文件四属性

 

修改、访问、创建时间这几个大家都能理解!

 

可能“条目修改时间”很多人不懂,我特意给大家详细讲一下:

修改的条目是指当该文件的MFT条目是上次更改时。由于MFT条目包含大量关于文件的信息,包括大小,名称,磁盘上的位置,父文件夹,创建日期等,所以更改其中任何一项也应该更改“修改条目”日期。例如重命名文件,移动文件(碎片整理 - 在磁盘上移动它,或将其移动到不同的文件夹中),或增加文件大小。

 

想具体看“条目修改时间”的,可以用取证工具:EnCase

    A+
发布日期:2018年06月03日 12:13:47  所属分类:经验
最后更新时间:2018-06-03 12:27:20
付杰
  • ¥ 99.0元
  • 市场价:129.0元
  • ¥ 159.0元
  • 市场价:599.0元
  • ¥ 199.0元
  • 市场价:399.0元
  • ¥ 798.0元
  • 市场价:1298.0元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: