Что такое дата создания и дата изменения файла

Обновлено: 07.07.2024

помогите разобраться с датами (создание изменение)

Модератор: pruss

помогите разобраться с датами (создание изменение)

devil_god » 19 май 2010, 11:18

помогите разобраться с датами создания и изменения файла. я так понимаю что если дата создания намного позже, то это просто признак копирования? или может еще какой нибудь фактор здесь играют важную роль?

Igor Mikhaylov » 19 май 2010, 11:25

Файл-то какой? (некоторые файлы, например, файлы документов, созданные MS Office также содержат метаданные о их создании/модификации)

Digital Evidences is the international board about digital evidences.

devil_god » 19 май 2010, 11:29

Igor Michailov писал(а): Файл-то какой? (некоторые файлы, например, файлы документов, созданные MS Office также содержат метаданные о их создании/модификации)

да как раз на счет файлов офиса все понятно, есть метаданные, есть что и где смотреть. а вот исполняемые файлы, библиотечные, и так далее (грубо говоря возьмем папку Windows)

Igor Mikhaylov » 19 май 2010, 15:15

Про установление даты создания исполняемых файлов есть статья:Юрин И.Ю. Определение даты создания исполнимого PE-файла, журнал "Компьютерно-техническая экспертиза" №2 (3) за 2008 год.

А так, в целом, Вы идете верным путем (анализ метаданных файловой системы).

Digital Evidences is the international board about digital evidences.

andre_m » 19 май 2010, 21:44

Взято с Encase Support

File properties with regards to the date and time stamps
• If you copy a file from C:\fat16 to C:\fat16\sub, it keeps the same modified date and time but it changes the created date and time to the current date and time.
• If you move a file from C:\fat16 to C:\fat16sub, it keeps the same modified date and time and keeps the same created date and time.
• If you copy a file from C:\fat16 to D:\NTFS, it keeps the same modified date and time but changes the created date and time to the current date and time.
• If you move a file from C:\fat16 to D:\NTFS, it keeps the same modified date and time and keeps the same created date and time.
• If you copy a file from D:\NTFS to D:\NTFS\SUB, it keeps the same modified date and time but changes the created date and time to the current date and time.
• If you move a file from D:\NTFS to D:\NTFS\SUB, it keeps the same modified date and time and keeps the same created date and time.
• In all examples, the modified date and time of a file does not change unless a property of the file has changed. The created date and time of the file changes depending on whether the file was copied or moved.

JurKo » 21 май 2010, 14:02

Я разработал стандартную приписку:

Показания файловой системы относительно времени создания файла обычно отвечают показаниям системных часов и календаря компьютера во время записи файла на диск или в соответствующий каталог диска в ходе создания нового файла или копирования существующего файла, обычно не изменяются в случае последующего редактирования (модификации) этого файла, но могут быть изменены пользователем с помощью файловых менеджеров и других программных средств.

Показания файловой системы относительно времени последнего редактирования (модификации) файла обычно отвечают показаниям системных часов и календаря компьютера во время последней записи файла на диск в ходе редактирования (модификации) существующего файла или создания нового файла, обычно не изменяются в случае копирования этого файла на другой диск или в другой каталог диска, но могут быть изменены пользователем с помощью файловых менеджеров и других программных средств.


В таком случае, если дата создания позже даты модификации, то может быть четыре основных варианта:
- файл действительно копировался после его создания на другой диск или в другой каталог;
- в момент создания файла календарь был переведен вперед, а затем во время модификации файла выставили нормальную;
- в момент создания файла была нормальная дата, а во время модификации календарь был переведен назад;
- просто поигрались с датами файловым менеджером

Константин » 21 май 2010, 20:38

Брайан Кэрриэ "Криминалистический анализ файловых систем".

Глава 9. Стр. 218: "Обновление временных штампов". Это по FAT.
Глава 12. Стр. 293: "Обновление временных штампов". Это по NTFS.

JurKo » 22 май 2010, 12:31

Константин писал(а): Брайан Кэрриэ "Криминалистический анализ файловых систем".

Спасибо за источник.

Нашел в интернете. Скачал. Есть замечания, но хоть наконец-то нашел нормальную публикацию, которую можно упомянуть в списке использованной литературы в отношении FAT/NTFS.

Igor Mikhaylov » 22 май 2010, 18:57

Digital Evidences is the international board about digital evidences.

JurKo » 22 май 2010, 23:29

Igor Michailov писал(а): Мы про эту книгу, в новостном разделе, писали ещё в 2007 году.

Если бы я читал всё, что пишут в интернете.

Тут нет времени хард отнести на гарантийный ремонт.

Но источник действительно интересный. Жаль только по NTFS нет исчерпывающей информации. Зато FAT действительно хорошо описана.

Константин » 23 май 2010, 01:55

JurKo писал(а): Зато FAT действительно хорошо описана.

FAT во многих источниках хорошо описана.

Igor Mikhaylov » 23 май 2010, 05:12

JurKo писал(а): Жаль только по NTFS нет исчерпывающей информации.

У Guidancesoftware есть хороший тренинг по NTFS: "EnCase® v6 Examination of NTFS". Стоит около 3000$. Перелет к месту учебы и проживание оплачиваются отдельно.

Когда пользователь создает или изменяет файл, Windows регистрирует это событие, записывая в метаданные временную метку. На деле мало кто из пользователей обращает внимания на эти данные, но если вдруг кто захочет копнуть поглубже, обнаруженное может запросто поставить его в тупик. Представьте, вы открываете свойства файла и видите, что создан файл 24 февраля 2020 года, а изменен — 19 января 2016 года. Как вообще такое возможно, чтобы файл мог быть изменен раньше, чем создан?

Свойства файла

Возможно, вы также замечали и другие странности с временными метками файлов, которые в одном случае изменяются, а в другом остаются неизменными. В действительности здесь нет ничего странного, если вы поймете механизм образования временных меток в Windows, то перестанете удивляться. Начнем с описанного примера, когда дата изменения на временном отрезке выше, чем дата создания. Здесь всё довольно просто. Дело в том, что атрибуты «Создан» и «Открыт» создаются и хранятся в текущей файловой системе с учетом системного времени.

Если вы скопируете или переместите файл с другого физического накопителя на свой компьютер, Windows станет рассматривать такой файл как созданный только что и дату/время ему присвоит соответствующие. А вот сведения об изменении файла хранятся внутри самого файла, поэтому атрибут «Изменен» остается неизменным. Подобное происходит и при копировании файла в одной файловой системе. Скопируйте любой файл на рабочем столе в папку на этом же рабочем столе и откройте свойства файла. Вы увидите, что дата создания и открытия изменились.

Свойства скопированного файла

При перемещении файла в рамках одной файловой системы результат будет иным. Зафиксируем временные метки файла на рабочем столе, подождем несколько секунд и переместим этот файл в другую папку на этом же ПК. В Windows 7 и 8.1 атрибуты «Создан», «Изменен» и «Открыт» не изменятся, потому что для системы это один и тот же файл. На самом деле изменения во временные метаданные таки вносятся, что можно видеть на примере с Windows 10.

Время открытия файла

Также изменения могут быть обнаружены с помощью специальных утилит вроде Runtime DiskExplorer. Полученные в Проводнике свойства перемещенного файла в Windows 7 не изменились, но когда мы зафиксировали и сравнили временные метаданные до и после перемещения этого же файла в DiskExplorer,

Runtime DiskExplorer

то обнаружили, что время изменения MTF (Last MFT modification time) изменилось.

DiskExplorer

Кстати, это очень важный момент, позволяющий установить факт перемещения файла в пределах одной файловой системы.

И это далеко не все ответы на вопросы, которые могут возникнуть при чтении временных меток в Windows. Почему, например, в разных программах один и тот же файл имеет разные временные метки и какое время создания и модификации считать правильным? Как определить, изменял ли пользователь на компьютере системное время или нет? На эти и другие вопросы, касающиеся временных меток, мы постараемся дать ответы в следующих постах.

К каждому файлу, который вы создаете или изменяете в Windows 10, прикреплены атрибуты файла, которые сообщают вам (или кому-то еще), когда файл был создан, изменен, открыт и, возможно, многое другое. Неважно, опаздываете ли вы с отправкой задания или просто пытаетесь замести следы - информация всегда будет там, если вы ее не измените.

Если вы хотите изменить такие атрибуты файла, у вас есть несколько вариантов. Вы можете использовать новую оболочку Windows PowerShell, чтобы изменить или удалить эти данные, или вы можете сделать это с помощью проводника Windows или другого стороннего приложения, такого как Attribute Changer. Вот как изменить атрибуты файла в Windows 10 с помощью этих методов.

Удаление атрибутов файла с помощью проводника Windows

Если вы хотите изменить дату последнего изменения или другие атрибуты файла в Windows 10, возможно, вы в первую очередь захотите сделать это с помощью меню « Свойства» для файла в проводнике Windows.

К сожалению, это невозможно. Вы можете просматривать и изменять определенные атрибуты файлов в проводнике, но вы не можете изменить даты последнего просмотра, редактирования или изменения. Однако он удалит другие личные данные, такие как имя автора для документов, рейтинги для файлов мультимедиа, а также установит для файла режим только для чтения или скрытие.

Чтобы изменить другие атрибуты файла, такие как дата последнего изменения, дата создания и другая важная информация о файле, вам необходимо использовать один из методов, перечисленных далее в этой статье, в частности, с помощью приложения Attribute Changer.

  • Чтобы удалить определенные личные атрибуты файла, откройте проводник Windows и найдите файл. Щелкните файл правой кнопкой мыши и нажмите " Свойства" .
  • В поле « Свойства» перейдите на вкладку « Сведения », затем щелкните ссылку « Удалить свойства и личную информацию» .
  • Как мы уже упоминали, вы не можете удалить или изменить дату создания файла или другие важные атрибуты файла здесь. Если к вашему файлу прикреплена другая личная информация, вы можете создать копию файла с удаленной информацией, нажав кнопку « Создать копию со всеми возможными удаленными свойствами» , а затем нажмите « ОК», чтобы сохранить и выполнить действие. Копия вашего файла появится в той же папке, что и исходный файл, с удаленными выбранными вами атрибутами.
  • Чтобы удалить эту информацию из существующего файла, выберите вместо этого параметр Удалить следующие свойства из этого файла, а затем выберите свойства, которые вы хотите удалить. Нажмите ОК, чтобы сохранить и удалить эту информацию из файла.
  • Вы также можете использовать проводник, чтобы изменить или установить другие атрибуты файла, например, являются ли ваши файлы скрытыми или доступными только для чтения. В поле « Свойства» перейдите на вкладку « Общие », затем установите флажки « Скрытый» или « Только для чтения», чтобы включить или отключить эти параметры, затем нажмите « ОК» для сохранения.

Чтобы изменить дату последнего изменения и другие атрибуты, вам необходимо использовать другой метод, указанный ниже.

Изменение атрибутов файла с помощью PowerShell

Команда attrib из Windows PowerShell позволяет просматривать и изменять атрибуты файлов для файлов Windows 10. Он входит в стандартную комплектацию, поэтому для его использования не требуется никакого дополнительного программного обеспечения.

Это довольно сложный метод, но также весьма ограниченный. Если вам нужен более простой способ изменения атрибутов файла, используйте приложение Attribute Changer, указанное ниже.

  • Для начала откройте окно PowerShell - желательно с правами администратора. Для этого щелкните правой кнопкой мыши меню «Пуск» Windows и нажмите PowerShell (Admin), чтобы запустить новое окно PowerShell с включенными правами администратора.
  • Используйте команды cd и ls для перемещения папок и просмотра содержимого файлов. Оказавшись в нужной папке, вы можете перечислить все соответствующие атрибуты для вашего файла, набрав Get-ItemProperty -Path file | Format-list -Property * -Force , заменяя файл на путь к файлу.
  • Вы можете использовать команду Set-ItemProperty для изменения атрибутов файла, таких как доступ только для чтения. Для этого введите Set-ItemProperty -Path file -Name IsReadOnly -Value True , заменив файл своим именем файла. Полный список возможных переменных для этой команды см. В полной документации Microsoft PowerShell .

Успешное изменение приведет к тому, что PowerShell не вернет ответа, но вы можете проверить, было ли оно успешным, набрав Get-ItemProperty -Path file | Format-list -Property * -Force еще раз или просмотрев свойства файла с помощью проводника.

Как мы уже упоминали, это не самый простой способ изменить атрибуты файла. Существуют сторонние приложения, такие как Attribute Changer, чтобы сделать это намного проще, а также позволяют вам изменить дату последнего изменения и многое другое.

Использование Attribute Changer для изменения атрибутов файлов Windows 10

Attribute Changer предлагает лучший способ изменить атрибуты файла в Windows. Наряду с типичными скрытыми атрибутами и атрибутами, доступными только для чтения, Attribute Changer позволяет изменять даты доступа и создания файлов, а также другие параметры.

Что означает дата изменения?

Дата последнего изменения файла относится к дате и времени последней записи в файл. Обычно файл изменяется или записывается, когда пользователь открывает и затем сохраняет файл, независимо от того, были ли какие-либо данные изменены или добавлены в файл.

Почему дата изменена раньше, чем дата создания?

Какая дата создания?

Дата создания: дата создания относится к дате / времени сохранения или архивирования файла и устанавливается вашей операционной системой (например, при перемещении, копировании или загрузке файла). Вот почему дата создания часто отличается от фактической даты съемки фото / видео.

Что означает дата создания в Windows?

Операционная система: Дата создания / изменения

Эти даты связаны с путешествием вашей цифровой фотографии на вашем компьютере, например, когда она создается на компьютере, когда она перемещается в определенное место, когда она редактируется, изменяется или открывается вами.

Изменяет ли открытие файла дату изменения?

Можете ли вы изменить дату изменения файла?

Как изменить дату изменения даты?

Использование FileDate Changer

Как я могу узнать, кто последним изменил файл?

Как узнать, кто последний раз редактировал файл в Windows?

  1. Пуск → Администрирование → Оснастка локальной политики безопасности.
  2. Разверните Локальная политика → Политика аудита.
  3. Зайдите в Аудит доступа к объекту.
  4. Выберите Success / Failure (при необходимости).
  5. Подтвердите свой выбор и нажмите ОК.

Как изменить дату изменения фотографии?

Можно ли изменить данные EXIF?

Да данные EXIF ​​можно изменять. Вы можете изменить поля в посте с помощью определенных программ. Вы также можете подделать дату, просто изменив дату и время камеры перед съемкой, нет ничего, что говорило бы, что камера должна иметь точную дату и время.

Почему у моих фотографий неправильная дата?

Как узнать дату, когда был сделан снимок?

Если вы хотите узнать дату, когда была сделана фотография, вы можете просто проверить ее данные exif, где вы можете найти все данные, касающиеся даты, времени и местоположения. Чтобы отредактировать или удалить данные exif, вы можете просто использовать редакторы данных exif, которые могут помочь вам отредактировать информацию exif любого изображения без каких-либо проблем.

Что означает последнее изменение в Word?

Изменено означает, что когда было сделано последнее изменение, доступ означает последнее посещение.

Читайте также: