Windows verwendet auch das Unix Format. Aber das erkennt man auch.
e4,07,01,00,01,00,0d,00,0e,00,0c,00,25,00,9d,00 ist einfach nur eine Bytefolge, die eigentlich so gelesen wird:
Jahr: e4,07 = 0x07e4 = 2020
Monat: 01,00 = 0x0001 = 1
Tag: 01,00 = 0x0001 = 1
Stunde: 00,0d = 0x000d = 13
usw.
Warum Du jetzt von 13.01.2020 ausgeht, ist nicht ganz klar, da 13 das 00,0d wäre. Aber wenn das Monat ist, was ist dann das 01,00,01,00?
Finde da jetzt aber auch keine Informationen seitens Microsoft, was da drin stehen soll.
Habe da bei mir mal nachgeschaut, ob ich da etwas vergleichbares finde:
e3,07,0c,00,03,00,19,00,10,00,34,00,00,00,13,02
Gerätemanager sagt dazu: 28.12.2019 20:25:58
Jahr (e3,07) und Monat (0c,00) passen, aber der Tag schon nicht mehr.
Eventuell mal das WDK installieren, ob es da irgendwelche Infos dazu gibt. So wie früher scheint das nicht mehr zu klappen.
Bei Symantec geht es um Ticks. Die werden aber auch so direct in der Registry als QWORD gespeichert:
Das kann man dann in der Powershell leicht umrechen:
Code: Alles auswählen
$bytes = [byte[]](0x0c,0x3d,0x47,0x99,0x7e,0x9f,0xd4,0x01)
$Int64Wert = [System.BitConverter]::ToInt64($bytes, 0)
[datetime]::FromFileTime($Int64Wert)
Samstag, 29. Dezember 2018 14:58:38 (UTC)
Das ist auch dokumentiert:
https://docs.microsoft.com/de-de/dotnet ... mework-4.8
Das lässt sich aber auf den langen Eintrag nicht anwenden. Da kommt immer Müll raus, da einfach zu lang.