アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

暗号化と Entry Modifiedの関係

NTFSの暗号化ファイルシステム(EFS)で暗号化を実施した場合に、Entry Modified が変化するか確認してみたいと思います。
c.txt の Last Written は 09:50:04、Entry Modified は 10:28:14 の状態で以下のコマンドを実行します。
$STANDARD_INFORMATION (0x10)のDOS File Permissionsに含まれるフラグ*1なので、恐らく「読み取り専用」属性と同じ結果になると思われますが、念のため確認。

cipher /e /A c.txt

暗号化処理後の c.txt の Last Written と Entry Modified は 10:28:55 でした。暗号化処理のために読み込みと書き込みが発生するので当然と言えば当然ですかね...

暗号化時の変化
Last  Accessed ○
Last  Written  ○
Entry Modified ○

*1:NTFS Documentationの2.2.1. File Permissions参照