Modification, Access, Change

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

MAC oder auch MACtime steht für "modification", "access" und "metadata change" oder "creation time" und meint drei Zeitstempel, die in Dateisystemen benutzt werden, um Dateioperationen zu protokollieren. Der weit geläufige Name MACtime kommt ursprünglich von Dan Farmer, der ein Programm mit demselben Namen schrieb.[1]

Die drei Arten von Zeitstempeln[Bearbeiten]

Grundsätzlich unterscheidet man drei Werte und interpretiert sie wie folgt:

Modification Stempel (mtime)[Bearbeiten]

Die mtime gibt an, wann der Inhalt einer Datei zuletzt verändert wurde. Da allerdings die meisten Dateisysteme nicht unterscheiden, ob der Inhalt vorher schon vorhanden war oder identisch eingefügt wurde, überschreibt eine Dateioperation mit demselben Inhalt in die gleiche Datei die Modification Zeitstempel genauso, obwohl die Datei eigentlich nicht verändert wurde.

Access Stempel (atime)[Bearbeiten]

Der Access Stempel oder atime gibt an, wann eine Datei das letzte Mal geöffnet wurde, um sie zu lesen. Ein Programm kann eine Datei bereits öffnen, den Inhalt aber später erst einlesen. Dadurch kann es zu Unterschieden zwischen dem Öffnen und Lesen einer Datei kommen. Die atime wird außerdem auch aktualisiert, auch wenn nur eine sehr kleine Dateimenge gelesen wird (z.B. Meta-Informationen wie Höhe und Breite eines Bildes).

Change oder Creation Stempel (ctime)[Bearbeiten]

Hier gibt es grundsätzliche Unterschiede zwischen Windows und Unix:

  • Change: Auf Unixsystemen wird historisch die ctime verändert, wenn die Metadaten einer Datei (z.B. Rechte, Besitzer, ..) und nicht ihr eigentlicher Inhalt geändert wird.
  • Creation: Auf windows-artigen Systemen wird die ctime als Geburtszeit einer Datei interpretiert (z.B.: Diese Datei wurde am 12. Dezember 2011 um 12:31 Uhr erstellt).

Dieser Unterschied kann zu einer Fehldarstellung der Dateizeit auf unterschiedlichen Betriebssystemen führen. Die meisten Unixdateisysteme speichern keine Creation-Stempel und beschränken sich auf die Change-Stempel; allerdings speichern einige Dateisysteme beide Werte (z.B. NTFS, HFS+, ZFS, oder UFS2).

Trivia[Bearbeiten]

Besondere Berücksichtigung dieser Werte findet man bei der Auswertung von Computern mittels IT-Forensik.

Siehe auch[Bearbeiten]

Weblinks[Bearbeiten]

Quellen[Bearbeiten]

  1. Dan Farmer: What Are MACtimes? Dr Dobb's Journal, October 01, 2000 - (Englisch - abgerufen am 22. Dezember 2011)