Modification, Access, Change

Zeitstempel in Dateisystemen
(Weitergeleitet von Mtime)

MAC oder auch MACtime steht für modification, access und metadata change oder creation time und steht für drei Zeitstempel, die in Dateisystemen benutzt werden, um Dateioperationen zu protokollieren.

Der weit geläufige Name MACtime kommt ursprünglich von Dan Farmer, der ein Programm mit demselben Namen schrieb.[1]

Die drei Arten von Zeitstempeln

Bearbeiten

Grundsätzlich unterscheidet man drei Werte und interpretiert sie wie folgt:

Modification-Stempel (mtime)

Bearbeiten

Die mtime gibt an, wann der Inhalt einer Datei zuletzt verändert wurde. Da allerdings die meisten Dateisysteme nicht unterscheiden, ob der Inhalt vorher schon vorhanden war oder identisch eingefügt wurde, überschreibt eine Dateioperation mit demselben Inhalt in die gleiche Datei die Modification Zeitstempel genauso, obwohl die Datei eigentlich nicht verändert wurde.

Access-Stempel (atime)

Bearbeiten

Der Access Stempel oder atime gibt an, wann eine Datei das letzte Mal geöffnet wurde, um sie zu lesen. Ein Programm kann eine Datei bereits öffnen, den Inhalt aber später erst einlesen. Dadurch kann es zu Unterschieden zwischen dem Öffnen und Lesen einer Datei kommen. Die atime wird außerdem auch aktualisiert, auch wenn nur eine sehr kleine Dateimenge gelesen wird (z. B. Meta-Informationen wie Höhe und Breite eines Bildes).

Change- oder Creation-Stempel (ctime)

Bearbeiten

Hier gibt es grundsätzliche Unterschiede zwischen Windows und Unix:

Change
Auf unixoiden Systemen wird historisch die ctime verändert, wenn die Metadaten einer Datei (z. B. Rechte, Besitzer, …) und nicht ihr eigentlicher Inhalt geändert wird.
Creation
Auf windows-artigen Systemen wird die ctime als Geburtszeit einer Datei interpretiert (z. B.: Diese Datei wurde am 12. Dezember 2011 um 12:31 Uhr erstellt).

Dieser Unterschied kann zu einer Fehldarstellung der Dateizeit auf unterschiedlichen Betriebssystemen führen. Die meisten Unixdateisysteme speichern keine Creation-Stempel und beschränken sich auf die Change-Stempel; allerdings speichern einige Dateisysteme beide Werte (z. B. NTFS, HFS+, ZFS, oder UFS2).

Besondere Berücksichtigung dieser Werte findet man bei der Auswertung von Computern mittels IT-Forensik.

Bearbeiten
  1. Dan Farmer: What Are MACtimes? Dr Dobb's Journal, October 01, 2000 - (Englisch - abgerufen am 22. Dezember 2011)