Modification, Access, Change
MAC oder auch MACtime steht für modification, access und metadata change oder creation time und steht für drei Zeitstempel, die in Dateisystemen benutzt werden, um Dateioperationen zu protokollieren.
Der weit geläufige Name MACtime kommt ursprünglich von Dan Farmer, der ein Programm mit demselben Namen schrieb.[1]
Die drei Arten von Zeitstempeln
BearbeitenGrundsätzlich unterscheidet man drei Werte und interpretiert sie wie folgt:
Modification-Stempel (mtime)
BearbeitenDie mtime gibt an, wann der Inhalt einer Datei zuletzt verändert wurde. Da allerdings die meisten Dateisysteme nicht unterscheiden, ob der Inhalt vorher schon vorhanden war oder identisch eingefügt wurde, überschreibt eine Dateioperation mit demselben Inhalt in die gleiche Datei die Modification Zeitstempel genauso, obwohl die Datei eigentlich nicht verändert wurde.
Access-Stempel (atime)
BearbeitenDer Access Stempel oder atime gibt an, wann eine Datei das letzte Mal geöffnet wurde, um sie zu lesen. Ein Programm kann eine Datei bereits öffnen, den Inhalt aber später erst einlesen. Dadurch kann es zu Unterschieden zwischen dem Öffnen und Lesen einer Datei kommen. Die atime wird außerdem auch aktualisiert, auch wenn nur eine sehr kleine Dateimenge gelesen wird (z. B. Meta-Informationen wie Höhe und Breite eines Bildes).
Change- oder Creation-Stempel (ctime)
BearbeitenHier gibt es grundsätzliche Unterschiede zwischen Windows und Unix:
- Change
- Auf unixoiden Systemen wird historisch die ctime verändert, wenn die Metadaten einer Datei (z. B. Rechte, Besitzer, …) und nicht ihr eigentlicher Inhalt geändert wird.
- Creation
- Auf windows-artigen Systemen wird die ctime als Geburtszeit einer Datei interpretiert (z. B.: Diese Datei wurde am 12. Dezember 2011 um 12:31 Uhr erstellt).
Dieser Unterschied kann zu einer Fehldarstellung der Dateizeit auf unterschiedlichen Betriebssystemen führen. Die meisten Unixdateisysteme speichern keine Creation-Stempel und beschränken sich auf die Change-Stempel; allerdings speichern einige Dateisysteme beide Werte (z. B. NTFS, HFS+, ZFS, oder UFS2).
Trivia
BearbeitenBesondere Berücksichtigung dieser Werte findet man bei der Auswertung von Computern mittels IT-Forensik.
Weblinks
Bearbeiten- http://www.computer-forensik.org – Webseite zum Buch "Computer Forensik" mit einigen weiterführenden Informationen (abgerufen am 22. Dezember 2011)
Quellen
Bearbeiten- ↑ Dan Farmer: What Are MACtimes? Dr Dobb's Journal, October 01, 2000 - (Englisch - abgerufen am 22. Dezember 2011)