МАК раз

Время MAC — это фрагменты метаданных файловой системы , которые регистрируют, когда определенные события, относящиеся к компьютерному файлу, произошли в последний раз. События обычно описываются как «модификация» (данные в файле были изменены), «доступ» (некоторая часть файла была прочитана) и «изменение метаданных» (изменены разрешения или права собственности файла), хотя аббревиатура происходит от структур «mtime», «atime» и «ctime», поддерживаемых файловыми системами Unix . Файловые системы Windows не обновляют ctime при изменении метаданных файла ^[^{требуется ссылка}^] , вместо этого используя поле для записи времени, когда файл был впервые создан, известного как «время создания» или «время рождения». Некоторые другие системы также регистрируют время рождения файлов, но для этих метаданных нет стандартного названия; например, ZFS хранит время рождения в поле под названием «crtime». Время MAC обычно используется в компьютерной криминалистике . ^[1]^[2] Название Mactime изначально было придумано Дэном Фармером, который написал инструмент с таким же названием. ^[3]

Время модификации (mtime)

Время модификации файла описывает, когда содержимое файла было изменено в последний раз. Поскольку большинство файловых систем не сравнивают данные, записанные в файл, с тем, что там уже есть, если программа перезаписывает часть файла теми же данными, которые ранее существовали в этом месте, время модификации будет обновлено, даже если технически содержимое не изменилось.

Время доступа (atime)

Время доступа к файлу определяет, когда файл был открыт для чтения в последний раз. Время доступа обычно обновляется, даже если проверяется только небольшая часть большого файла. Работающая программа может поддерживать файл как «открытый» в течение некоторого времени, поэтому время открытия файла может отличаться от времени последнего чтения данных из файла.

Поскольку некоторые конфигурации компьютеров намного быстрее считывают данные, чем записывают их, обновление времени доступа после каждой операции чтения может быть очень дорогим. Некоторые системы смягчают эту стоимость, сохраняя время доступа с более грубой детализацией, чем другие времена; округляя время доступа только до ближайшего часа или дня, файл, который считывается многократно в течение короткого периода времени, потребует обновления времени доступа только один раз. ^[4] В Windows это решается ожиданием до часа для сброса обновленных дат доступа на диск. ^[5]

Некоторые системы также предоставляют возможность отключить обновление времени доступа вообще. В Windows , начиная с Vista , обновление времени доступа к файлам отключено по умолчанию. ^[6]

Время изменения и время создания (ctime)

Файловые системы Unix и Windows интерпретируют «ctime» по-разному:

Системы Unix сохраняют историческую интерпретацию ctime как времени последнего изменения определенных метаданных файла, а не его содержимого , например, прав доступа к файлу или владельца (например, «Метаданные этого файла были изменены 05.05.02 в 12:15»).
Системы Windows используют ctime для обозначения «времени создания» ^{[ требуется ссылка ]} (также называемого «временем рождения») (например, «Этот файл был создан 05.05.02 в 12:15 дня»).

Эта разница в использовании может привести к неправильному представлению метаданных времени, когда файл, созданный в системе Windows, доступен в системе Unix и наоборот. ^{[ требуется ссылка ]} Хотя это и не указано в POSIX , большинство современных файловых систем Unix (таких как ext4 , HFS+ , ZFS и UFS2 ) позволяют хранить время создания. ^[7]NTFS хранит как время создания, так и время изменения.

Семантика времени создания является источником некоторых противоречий. ^{[ необходима цитата ]} Одна точка зрения заключается в том, что время создания должно относиться к фактическому содержимому файла: например, для цифровой фотографии время создания будет отмечать, когда фотография была сделана или впервые сохранена на компьютере. Другой подход заключается в том, чтобы время создания обозначало, когда был создан сам объект файловой системы, например, когда файл фотографии был в последний раз восстановлен из резервной копии или перемещен с одного диска на другой.

Проблемы с метаданными

Как и в случае со всеми метаданными файловой системы, ожидания пользователя относительно времени MAC могут быть нарушены программами, которые не поддерживают метаданные. Некоторые утилиты копирования файлов явно устанавливают время MAC новой копии в соответствии с временем исходного файла, в то время как программы, которые просто создают новый файл, считывают содержимое оригинала и записывают эти данные в новую копию, будут создавать новые файлы, время которых не будет соответствовать времени оригинала.

Некоторые программы, пытаясь избежать потери данных при прерывании операции записи, избегают изменения существующих файлов. Вместо этого обновленные данные записываются в новый файл, а новый файл перемещается, чтобы перезаписать исходный. Эта практика приводит к потере исходных метаданных файла, если программа явно не копирует метаданные из исходного файла. Windows не подвержена этому из-за обходной функции, называемой File System Tunneling . ^[8]

Смотрите также

Компьютерная криминалистика

Ссылки

^ Luque, Mark E. (2002). «Анализ логического уровня систем Linux». В Casey, E. (ред.). Справочник по расследованию компьютерных преступлений: криминалистические инструменты и технологии . Лондон: Academic Press. стр. 182– 183. ISBN 0-12-163103-6.
^ Шелдон (2002). «Судебный анализ систем Windows». В Кейси, Э. (ред.). Справочник по расследованию компьютерных преступлений: криминалистические инструменты и технологии . Лондон: Academic Press. стр. 134–135 . ISBN 0-12-163103-6.
↑ Дэн Фармер (1 октября 2000 г.). «Что такое MACtimes?». Журнал доктора Добба .
^ «Время файлов». Библиотека Microsoft MSDN.
^ «Время файлов». Библиотека Microsoft MSDN.
^ «Отключение времени последнего доступа в Windows Vista для повышения производительности NTFS». Группа разработчиков хранилищ в Microsoft.
^ Тьерри, Орельен; Мюллер, Тило (апрель 2022 г.). «Систематический подход к пониманию временных меток MACB в системах типа Unix». Forensic Science International: Digital Investigation . 40, Приложение: 301338. doi : 10.1016/j.fsidi.2022.301338 . S2CID 247735761.
^ «Windows NT содержит возможности туннелирования файловой системы». Поддержка Microsoft.

Внешние ссылки

Обсуждение временных меток Windows и Unix ( список рассылки проекта Cygwin )

[1] Luque, Mark E. (2002). «Анализ логического уровня систем Linux». В Casey, E. (ред.). Справочник по расследованию компьютерных преступлений: криминалистические инструменты и технологии . Лондон: Academic Press. стр. 182– 183. ISBN 0-12-163103-6.

[2] Шелдон (2002). «Судебный анализ систем Windows». В Кейси, Э. (ред.). Справочник по расследованию компьютерных преступлений: криминалистические инструменты и технологии . Лондон: Academic Press. стр. 134–135 . ISBN 0-12-163103-6.

[3] Дэн Фармер (1 октября 2000 г.). «Что такое MACtimes?». Журнал доктора Добба .

[4] «Время файлов». Библиотека Microsoft MSDN.

[5] «Время файлов». Библиотека Microsoft MSDN.

[6] «Отключение времени последнего доступа в Windows Vista для повышения производительности NTFS». Группа разработчиков хранилищ в Microsoft.

[7] Тьерри, Орельен; Мюллер, Тило (апрель 2022 г.). «Систематический подход к пониманию временных меток MACB в системах типа Unix». Forensic Science International: Digital Investigation . 40, Приложение: 301338. doi : 10.1016/j.fsidi.2022.301338 . S2CID 247735761.

[8] «Windows NT содержит возможности туннелирования файловой системы». Поддержка Microsoft.