MACtimes em Sistema de Arquivos NTFS

Opa, e aí galera

Tudo bem?
Hoje nós vamos falar sobre mactimes (que são os timestamps de um sistema de arquivos). Segundo a wikipedia "mactimes são os campos de metadados do sistema de arquivos que registram o último instante em que ocorreram certos eventos pertinentes a um dado arquivo."

Ainda, segundo a wikipedia, estes eventos são a modificação (modification time), o acesso (access-time) e alteração de metadados (change-time) . O termo MAC é um acrônimo derivado dos termos "mtime", "atime" e "ctime", estruturas mantidas no sistema de arquivos Unix.

Os MACtimes são extremamente utilizados na computação forense. Veremos mais adiante alguns exemplos onde eles podem ser usados. Este termo "mactime" foi originalmente usado por Dan Farmer, pesquisador importante na área que escreveu um ótimo livro sobre computação forense. Já de antemão, existem algumas diferenças entre os mactimes de sistemas Unix e Windows. A principal diferença está no "ctime". Em sistemas de arquivos NTFS, o "ctime" registra o último instante que o conteúdo de metadados da MFT foram atualizados (MFT foi modificada). Essa atualização (modificação da MFT) ocorre quando por exemplo o tamanho de um arquivo é alterado, ou então as permissões de segurança de um arquivo são alteradas, ou até mesmo quando o dono de um arquivo é atualizado.

Segundo o projeto LINUX-NTFS do sourceforge, em filesystems NTFS existem 4 timestamps: MACB (acrônimo de 4 termos)

  • M (Modification-time): registra quando o conteúdo do arquivo foi modificado pela última vez.
  • A (Accessed-time): registra o tempo aproximado em que o conteúdo do arquivo/diretório foi acessado pela última vez. Para arquivos ou diretórios, este último acesso engloba escrita ou leitura; no caso de executáveis, este último acesso vale para a última execução.
  • C (Change in metadata): registra a última modificação no metadado do arquivo. Assim, a MFT será modificada.
  • B (Birth-time/Born): registra o momento em que o arquivo foi criado.
Cabe ressaltar que o NTFS determina os MACtimes com base no UTC. Os timestamps (mactimes) são valores de 64 bits que representam a quantidade de 100 nanosegundos desde 1º de Janeiro de 1601 UTC.

O Rob Lee, criou uma tabela que resume muito bem o assunto deste post. Segue a tabela:



Nota: existem algumas divergências sobre o significado de cada timestamp. Por uma questão de "ficar com boas referências", eu escolhi ficar com o Brian Carrier e LINUX-NTFS. Alguns livros vão divergir no significado do "mtime", ou do "ctime", ou do "atime", e alguns outros livros nem vão trazer a existência do "birth-time". Mas como eu disse, eu quis ficar com uma boa referência bibliográfica.

Bom, então é isso.
Um abraço!





Referências Bibliográficas:


Guia com todos os Comandos do CMD do Windows

Opa, e aí galera

Tudo bem?
Achei um post interessante em um blog.
Esse post mostra um guia com todos os comandos do CMD do Windows.
Vale a pena dar uma olhada.

O link para o post é: guia com todos os comandos do CMD do Windows

Bom, é isso.
Um abraço!

Guia com mais de 500 Comandos GNU/Linux Explicados

Opa, e aí galera

Tudo bem?
Achei um post interessante em um blog.
Esse post mostra 500 comandos do GNU/Linux explicados
Vale a pena dar uma olhada.

OBS: alguns destes comandos são muito utilizados na computação forense, como o DD (e o DCFLDD), o LS, o CD, TAIL, GREP, etc.

O link para o post é: 500 comandos Linux

Bom, é isso.
Um abraço!

Guia com mais de 500 Comandos GNU/Linux Explicados

Opa, e aí galera

Tudo bem?
Achei um post interessante em um blog.
Esse post mostra 500 comandos do GNU/Linux explicados
Vale a pena dar uma olhada.

OBS: alguns destes comandos são muito utilizados na computação forense, como o DD (e o DCFLDD), o LS, o CD, TAIL, GREP, etc.

O link para o post é: 500 comandos Linux

Bom, é isso.
Um abraço!