Hallo Ecki, deine Frage müsste sich ja nun eigentlich an das Empfängersystem richten, denn das ist zweifellos das einzige, das darauf Einfluss haben müsste. Also gehen wir mal von Windows aus (auch schon ziemlich ungenau, weil Versions-abhängig). Nun ist es aber noch ein klein wenig komplizierter, denn unter Windows gibt es drei verschiedene Zeiteinträge (und bei signierten Dateien sogar vier), und die solltest du mal vergleichen und dann überlegen, ob deine Frage damit nicht hinfällig wird oder anders gestellt werden müsste:
Prinzipiell sind all diese Zeiten konstruiert, d.h. vom Datei-oder Systembenutzer veränderbar, insofern ist eine Antwort auf deine Frage schon von vorne herein in ihrer Aussagekraft ziemlich beschränkt (oder komplex, ganz wie du magst), hier die offiziellen Details dazu: https://learn.microsoft.com/de-de/windows/win32/api/fileapi/nf-fileapi-setfiletime. Bei den Dateien findest du diese Angaben per Rechtsklick auf die Datei > Eigenschaften > Allgemein, und MS bleibt in seinen eigenen Ausführungen erstaunlich uneindeutig.
Seit der Einführung des aus Sicherheitsgründen mehr oder weniger erwünschten, aber dennoch nicht erzwungenen digitalen Signierens ausführbarer Dateien gibt es nun zusätzlich die Möglichkeit, diese mit einem extern verifizierten Zeitstempel zu versehen, den aber prinzipiell auch jeder überschreiben kann, der ein bisschen recherchiert: https://learn.microsoft.com/de-de/windows/win32/seccrypto/time-stamping-authenticode-signatures. Im Ergebnis bedeutet das, egal welche dieser Zeiten du verwendest, du wirst nie eine Garantie dafür erhalten, dass deine Frage (welche wäre das denn eigentlich, das hast du uns ja nicht verraten?) wirklich wahrheitsgemäß beantwortet werden kann.
Wahr ist jedoch, dass die Zeit der Dateierstellung angezeigt wird, denn die findet definitiv auf deinem Rechner statt und nirgendwo anders (ist die Kopie einer Datei eine neue Datei - in diesem Fall wohl schon, würde ich sagen ...). Das führt dann auch zu der scheinbaren Absurdität, dass die Speicherung einer neuen Version mit demselben Namen das alte Erstellungsdatum behält - denn es wird nur das Schreibdatum aktualisiert. Anders ausgedrückt: Wer Versionen anhand der Zeitstempel vergleichen will, der wird eher scheitern als das erhoffte Ergebnis erhalten - und kann zusätzlich auch selber noch manipulieren.
Alle Klarheiten beseitigt soweit?
PS: Hab gerade folgende WINPM-32.EXE-Datei bei mir gefunden:
Das geht also anscheinend auch: vor der Erstellung geändert - ist ja auch eigentlich völlig banal und logisch absolut korrekt, oder ...?
PPS: Das ist kein Fake!
Hallo Ecki, deine Frage müsste sich ja nun eigentlich an das Empfängersystem richten, denn das ist zweifellos das einzige, das darauf Einfluss haben müsste. Also gehen wir mal von Windows aus (auch schon ziemlich ungenau, weil Versions-abhängig). Nun ist es aber _noch_ ein klein wenig komplizierter, denn unter Windows gibt es drei verschiedene Zeiteinträge (und bei signierten Dateien sogar vier), und die solltest du mal vergleichen und dann überlegen, ob deine Frage damit nicht hinfällig wird oder anders gestellt werden müsste:
Prinzipiell sind all diese Zeiten konstruiert, d.h. vom Datei-oder Systembenutzer veränderbar, insofern ist eine Antwort auf deine Frage schon von vorne herein in ihrer Aussagekraft ziemlich beschränkt (oder komplex, ganz wie du magst), hier die offiziellen Details dazu: <https://learn.microsoft.com/de-de/windows/win32/api/fileapi/nf-fileapi-setfiletime>. Bei den Dateien findest du diese Angaben per Rechtsklick auf die Datei > Eigenschaften > Allgemein, und MS bleibt in seinen eigenen Ausführungen erstaunlich uneindeutig.
Seit der Einführung des aus Sicherheitsgründen mehr oder weniger erwünschten, aber dennoch nicht erzwungenen digitalen Signierens ausführbarer Dateien gibt es nun zusätzlich die Möglichkeit, diese mit einem extern verifizierten Zeitstempel zu versehen, den aber prinzipiell auch jeder überschreiben kann, der ein bisschen recherchiert: https://learn.microsoft.com/de-de/windows/win32/seccrypto/time-stamping-authenticode-signatures. Im Ergebnis bedeutet das, egal welche dieser Zeiten du verwendest, du wirst nie eine Garantie dafür erhalten, dass deine Frage (welche wäre das denn eigentlich, das hast du uns ja nicht verraten?) wirklich wahrheitsgemäß beantwortet werden kann.
Wahr ist jedoch, dass die Zeit der Dateierstellung angezeigt wird, denn die findet definitiv auf deinem Rechner statt und nirgendwo anders (ist die Kopie einer Datei eine _neue_ Datei - in diesem Fall wohl schon, würde ich sagen ...). Das führt dann auch zu der scheinbaren Absurdität, dass die Speicherung einer neuen Version mit demselben Namen das alte Erstellungsdatum behält - denn es wird nur das Schreibdatum aktualisiert. Anders ausgedrückt: Wer Versionen anhand der Zeitstempel vergleichen will, der wird eher scheitern als das erhoffte Ergebnis erhalten - und kann zusätzlich auch selber noch manipulieren.
Alle Klarheiten beseitigt soweit?
PS: Hab gerade folgende WINPM-32.EXE-Datei bei mir gefunden:
![63489f390cc67](serve/attachment&path=63489f390cc67)
Das geht also anscheinend auch: vor der Erstellung geändert - ist ja auch eigentlich völlig banal und logisch absolut korrekt, oder ...? :D
PPS: Das ist _kein_ Fake!
Michael
--
IERenderer's Homepage
PGP Key ID (RSA 2048): 0xC45D831B
S/MIME Fingerprint: 94C6B471 0C623088 A5B27701 742B8666 3B7E657C
edited Oct 15 '22 at 2:29 am