Erfahren Sie mehr über die Arten von Beweisen in der Kategorie Dateizeitleiste, die das Incident Response Evidence Collection Playbook, die Collect Evidence task und das Trend Micro Incident Response Toolkit sammeln.
|
Evidenzdaten
|
Beschreibung
|
|
Erstellungszeit ($FN)
|
Die Zeit und das Datum, an dem die Datei erstellt wurde, gemäß dem NTFS-$FILE_NAME-Attribut.
|
|
Pfad
|
Der absolute Pfad der Datei.
|
|
Änderungszeit ($FN)
|
Die Zeit und das Datum, an dem die Datei zuletzt geändert wurde, gemäß dem NTFS-$FILE_NAME-Attribut.
|
|
Zugriffszeit ($FN)
|
Die Zeit und das Datum, an dem die Datei zuletzt zugegriffen wurde, gemäß dem NTFS-Attribut
$FILE_NAME.
|
|
Aufzeichnungszeit ($FN)
|
Die Zeit und das Datum, an dem der MFT-Eintrag der Datei zuletzt geändert wurde, gemäß
dem NTFS $FILE_NAME-Attribut (spiegelt häufig Änderungen der Metadaten wider).
|
|
Verzeichnis
|
Das Verzeichnis, in dem sich die Datei befindet.
|
|
Dateiname
|
Der Namensabschnitt des Dateipfads.
|
|
Inode
|
Die Nummer des Dateisystem-Indexknotens (oft als MFT-Datensatznummer in NTFS bezeichnet).
|
|
Datei-ID
|
Der eindeutige Bezeichnerwert, der der Datei im Dateisystem zugewiesen ist.
|
|
UID
|
Die Benutzer-ID (UID) des Dateieigentümers.
|
|
Attribute
|
Eine Zeichenfolge oder eine Gruppe von Flags, die die Attribute der Datei definieren
(zum Beispiel Schreibgeschützt, Versteckt, System).
|
|
Symlink
|
Ein Hinweis darauf, ob der Dateipfad ein symbolischer Link ist.
|
|
Typ
|
Der Typ des Dateieintrags (zum Beispiel, reguläre Datei, Verzeichnis, symbolischer
Link).
|
|
Erstellungszeit ($STD)
|
Das Datum und die Uhrzeit, zu der die Datei erstellt wurde, gemäß dem NTFS-$STANDARD_INFORMATION-Attribut.
|
|
Änderungszeit ($STD)
|
Die Zeit und das Datum, an dem die Datei zuletzt geändert wurde, gemäß dem NTFS-$STANDARD_INFORMATION-Attribut.
|
|
Zugriffszeit ($STD)
|
Die Zeit und das Datum, an dem die Datei zuletzt zugegriffen wurde, gemäß dem NTFS-Attribut
$STANDARD_INFORMATION.
|
|
Änderungszeit der MFT ($STD)
|
Die Zeit und das Datum, an dem der MFT-Eintrag der Datei zuletzt geändert wurde, gemäß
dem NTFS-$STANDARD_INFORMATION-Attribut.
|
|
Feste Verknüpfungen
|
Die Anzahl der Hardlinks, die auf die Datei verweisen.
|
|
Dateiversion
|
Die mit der Datei verknüpfte Versionsnummer, falls verfügbar (oft relevant für ausführbare
Dateien oder Bibliotheken).
|
|
Größe
|
Die Größe der Datei, typischerweise in Byte gemessen.
|