MAC раз

Фактическая точность этой статьи оспаривается . Соответствующее обсуждение можно найти на странице обсуждения . Пожалуйста, помогите обеспечить надежный источник спорных заявлений . ( Июнь 2012 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

Время MAC - это фрагменты метаданных файловой системы, в которых записывается, когда определенные события, относящиеся к компьютерному файлу, произошли совсем недавно. События обычно описываются как «модификация» (данные в файле были изменены), «доступ» (была прочитана некоторая часть файла) и «изменение метаданных» (были изменены права доступа к файлу или права собственности), хотя аббревиатура происходит из структур «mtime», «atime» и «ctime», поддерживаемых файловыми системами Unix . Файловые системы Windows не обновляют ctime при изменении метаданных файла ^[^{необходима ссылка}^], вместо этого с использованием поля для записи времени первого создания файла, известного как «время создания» или «время рождения». Некоторые другие системы также записывают время рождения файлов, но для этих метаданных нет стандартного имени; ZFS , например, сохраняет время рождения в поле под названием crtime. Время MAC обычно используется в компьютерной криминалистике . ^[1]^[2] Название Mactime было первоначально придумано Дэном Фармером, который написал инструмент с таким же названием. ^[3]

Время модификации (mtime) [ править ]

Время модификации файла описывает время последнего изменения содержимого файла. Поскольку большинство файловых систем не сравнивают данные, записанные в файл, с тем, что уже есть, если программа перезаписывает часть файла теми же данными, которые ранее существовали в этом месте, время модификации будет обновлено, даже если содержимое технически не изменилось. менять.

Время доступа (atime) [ править ]

Время доступа к файлу определяет, когда последний раз файл открывался для чтения. Время доступа обычно обновляется, даже если проверяется только небольшая часть большого файла. Запущенная программа может поддерживать файл как «открытый» в течение некоторого времени, поэтому время открытия файла может отличаться от времени последнего считывания данных из файла.

Поскольку некоторые конфигурации компьютеров намного быстрее читают данные, чем записывают их, обновление времени доступа после каждой операции чтения может быть очень дорогостоящим. Некоторые системы снижают эту стоимость, сохраняя время доступа с более грубой детализацией, чем в других случаях; округляя время доступа только до ближайшего часа или дня, файл, который читается повторно за короткий промежуток времени, будет нуждаться в обновлении времени доступа только один раз. ^[4] В Windows эта проблема решается путем ожидания до часа для сброса обновленных дат доступа на диск. ^[5]

Некоторые системы также предоставляют опции для полного отключения обновления времени доступа. В Windows , начиная с Vista , обновление времени доступа к файлам по умолчанию отключено. ^[6]

Изменить время и время создания (ctime) [ править ]

Файловые системы Unix и Windows по-разному интерпретируют ctime:

Системы Unix поддерживают историческую интерпретацию ctime как время последнего изменения метаданных файла, а не его содержимого , например, права доступа или владельца (например, «Метаданные этого файла были изменены 05.05.02 12:15») ).
В системах Windows ctime используется для обозначения «времени создания» ^{[ необходима цитата ]} (также называемого «временем рождения») (например, «Этот файл был создан 05.05.02 12:15»).

Это различие в использовании может привести к неправильному представлению метаданных времени, когда к файлу, созданному в системе Windows, осуществляется доступ в системе Unix и наоборот. ^{[ необходима цитата ]} Большинство файловых систем Unix не хранят время создания, хотя некоторые, такие как HFS + , ZFS и UFS2 , хранят . NTFS хранит как время создания, так и время изменения.

Семантика времен создания является источником некоторых противоречий. ^{[ необходима цитата ] Согласно} одной точке зрения, время создания должно относиться к фактическому содержанию файла: например, для цифровой фотографии время создания будет отмечать, когда фотография была сделана или впервые сохранена на компьютере. Другой подход заключается в том, что время создания означает время создания самого объекта файловой системы, например, когда файл фотографии был в последний раз восстановлен из резервной копии или перемещен с одного диска на другой.

Проблемы с метаданными [ править ]

Как и в случае со всеми метаданными файловой системы, ожидания пользователей относительно времени MAC могут быть нарушены программами, не поддерживающими метаданные. Некоторые утилиты для копирования файлов явно устанавливают время MAC новой копии, чтобы оно соответствовало времени MAC исходного файла, в то время как программы, которые просто создают новый файл, читают содержимое оригинала и записывают эти данные в новую копию, будут создавать новые файлы, время которых не совпадает с временем оригинала.

Некоторые программы, пытаясь избежать потери данных в случае прерывания операции записи, избегают изменения существующих файлов. Вместо этого обновленные данные записываются в новый файл, а новый файл перемещается для перезаписи оригинала. Эта практика приводит к потере исходных метаданных файла, если программа явно не копирует метаданные из исходного файла. На Windows это не влияет из-за возможности обхода, называемой туннелированием файловой системы . ^[7]

См. Также [ править ]

Компьютерная криминалистика

Ссылки [ править ]

^ Луке, Марк Э. (2002). «Анализ логического уровня систем Linux». В Кейси, Э. (ред.). Справочник по расследованию компьютерных преступлений: инструменты и технологии судебной экспертизы . Лондон: Academic Press. С. 182–183. ISBN 0-12-163103-6.
^ Шелдон (2002). «Криминалистический анализ систем Windows». В Кейси, Э. (ред.). Справочник по расследованию компьютерных преступлений: инструменты и технологии судебной экспертизы . Лондон: Academic Press. С. 134–135. ISBN 0-12-163103-6.
↑ Дэн Фармер (1 октября 2000 г.). "Что такое MACtimes?" . Журнал доктора Добба .
^ «Файл Times» . Библиотека Microsoft MSDN.
^ «Файл Times» . Библиотека Microsoft MSDN.
^ «Отключение времени последнего доступа в Windows Vista для повышения производительности NTFS» . Команда хранилищ в Microsoft.
^ «Windows NT содержит возможности туннелирования файловой системы» . Служба поддержки Microsoft.

Внешние ссылки [ править ]

Обсуждение временных меток Windows и Unix ( список рассылки проекта Cygwin )

[1] Луке, Марк Э. (2002). «Анализ логического уровня систем Linux». В Кейси, Э. (ред.). Справочник по расследованию компьютерных преступлений: инструменты и технологии судебной экспертизы . Лондон: Academic Press. С. 182–183. ISBN 0-12-163103-6.

[2] Шелдон (2002). «Криминалистический анализ систем Windows». В Кейси, Э. (ред.). Справочник по расследованию компьютерных преступлений: инструменты и технологии судебной экспертизы . Лондон: Academic Press. С. 134–135. ISBN 0-12-163103-6.

[3] Дэн Фармер (1 октября 2000 г.). "Что такое MACtimes?" . Журнал доктора Добба .

[4] «Файл Times» . Библиотека Microsoft MSDN.

[5] «Файл Times» . Библиотека Microsoft MSDN.

[6] «Отключение времени последнего доступа в Windows Vista для повышения производительности NTFS» . Команда хранилищ в Microsoft.

[7] «Windows NT содержит возможности туннелирования файловой системы» . Служба поддержки Microsoft.

[1]