アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

ハードリンクと Entry Modifiedの関係

NTFSでハードリンクを作成した場合に、Entry Modified に変化が発生するか確認してみたいと思います。c.txt の Last Written は 09:33:51 の状態で以下のコマンドを実行します。

fsutil hardlink create d.txt c.txt

ハードリンク作成後の、c.txt の Last Written は 09:33:51 で変化なし、Entry Modified は 09:41:34 でハードリンク作成時の時刻に変化。(実際には、$FILE_NAME属性が追加されるので、属性値が追加された場合と同じ?)

ハードリンク作成時の変化
Last  Accessed −
Last  Written  −
Entry Modified ○

なお、c.txt も d.txt も File Identifier は 57074 番で、当然のことながらタイムスタンプはいずれも同じです。