https://x7peeps.com/tags/Timestomp/index.htmlHugozh-CNTue, 23 Jun 2026 21:00:00 +0800https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x03%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90/%E9%87%8D%E7%82%B9%E6%96%87%E4%BB%B6%E6%97%B6%E9%97%B4%E7%BA%BF%E6%A3%80%E6%9F%A5%E7%BB%93%E6%9E%9C%E4%B8%8E%E6%94%BB%E5%87%BB%E8%80%85%E6%93%8D%E4%BD%9C%E8%8A%82%E5%BE%8B%E5%88%86%E6%9E%90/index.htmlTue, 16 Jun 2026 22:00:00 +0800https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x03%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90/%E9%87%8D%E7%82%B9%E6%96%87%E4%BB%B6%E6%97%B6%E9%97%B4%E7%BA%BF%E6%A3%80%E6%9F%A5%E7%BB%93%E6%9E%9C%E4%B8%8E%E6%94%BB%E5%87%BB%E8%80%85%E6%93%8D%E4%BD%9C%E8%8A%82%E5%BE%8B%E5%88%86%E6%9E%90/index.html围绕 0x02 重点文件检查中 stat、find、forfiles 等命令取回的文件时间戳结果，分析如何通过 MACE 时间分层、时间窗聚类和跨源交叉验证，还原攻击者的操作节律和入侵时序。https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x03%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90/%E6%96%87%E4%BB%B6%E7%B3%BB%E7%BB%9F%E6%97%B6%E9%97%B4%E6%88%B3%E5%8F%96%E8%AF%81%E4%B8%8ETimestomp%E6%A3%80%E6%B5%8B%E5%88%86%E6%9E%90/index.htmlMon, 22 Jun 2026 18:00:00 +0800https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x03%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90/%E6%96%87%E4%BB%B6%E7%B3%BB%E7%BB%9F%E6%97%B6%E9%97%B4%E6%88%B3%E5%8F%96%E8%AF%81%E4%B8%8ETimestomp%E6%A3%80%E6%B5%8B%E5%88%86%E6%9E%90/index.html围绕 NTFS 文件系统的 MACE 时间戳、$SI 与 $FN 属性差异、USN Journal、$LogFile，分析攻击者如何进行 Timestomp 反取证，以及如何从多个 Artifacts 中检测时间戳篡改。https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x03%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90/%E5%8F%8D%E5%8F%96%E8%AF%81%E6%8A%80%E6%9C%AF%E7%BB%BC%E5%90%88%E5%88%86%E6%9E%90%E4%B8%8E%E6%A3%80%E6%B5%8B%E6%96%B9%E6%B3%95/index.htmlTue, 23 Jun 2026 21:00:00 +0800https://x7peeps.com/%E5%AE%89%E5%85%A8/%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94/0x03%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90/%E5%8F%8D%E5%8F%96%E8%AF%81%E6%8A%80%E6%9C%AF%E7%BB%BC%E5%90%88%E5%88%86%E6%9E%90%E4%B8%8E%E6%A3%80%E6%B5%8B%E6%96%B9%E6%B3%95/index.html围绕攻击者使用的各类反取证技术（Timestomp、日志清理、文件删除、隐藏任务、数据混淆、ADS、禁用安全软件等），分析每种技术的原理、取证特征和检测方法，以及如何从多个 Artifacts 中识别反取证行为。