NTFSにはStandard Information Attribute と FileName Attributeという属性がある。
Standard Information Attribute
ファイルのタイムスタンプや各種ID等の情報を保持している。詳しくはこちらを参照。Standard Information Attributeに保持されているファイル・タイムスタンプはWindows API経由で編集することが可能。エクスプローラーでファイルのプロパティを確認したときに表示されるタイムスタンプはStandard Information Attributeのもの。
FileName Attribute
ファイルのタイムスタンプやファイルサイズ等の情報を保持している。詳しくはこちらを参照。FileName Attributeに保持されているファイル・タイムスタンプはWindows API経由では編集できない。
## Reference
https://flatcap.org/linux-ntfs/ntfs/index.html
https://www.fireeye.com/blog/threat-research/2012/09/incident-response-ntfs-indx-buffers-part-2-internal.html
http://www.geoffblack.com/downloads/Evidence_of_Folder_Renaming.pdf
