MAC 시간

MAC times

MAC 시간컴퓨터 파일과 관련된 특정 이벤트가 가장 최근에 발생한 때를 기록하는 파일 시스템 메타데이터의 일부다.이벤트는 일반적으로 Unix 파일 시스템에서 "mtime", "attime", "ctime" 및 "ctime" 구조에서 파생되지만(파일의 일부 데이터를 수정했다), "access" 및 "metadata change"(파일의 권한 또는 소유권이 수정되었다)로 설명된다.윈도우즈 파일 시스템은 파일의 메타데이터가 변경될[citation needed] 때 ctime을 업데이트하지 않고, 대신 필드를 사용하여 "생년 시간" 또는 "생년 시간"으로 알려진 파일이 처음 생성된 시간을 기록한다.일부 다른 시스템도 파일의 생년월일을 기록하지만, 이 메타데이터에 대한 표준 이름은 없다. 예를 들어 ZFS는 생년월일을 "crtime"이라는 필드에 저장한다.MAC 시간은 일반적으로 컴퓨터 포렌식에서 사용된다.[1][2]Mactime이라는 이름은 원래 같은 이름의 도구를 쓴 Dan Farmer에 의해 만들어졌다.[3]

수정시간(mtime)

파일의 수정 시간은 파일의 내용이 가장 최근에 변경된 때를 설명한다.대부분의 파일 시스템은 파일에 쓰여진 데이터와 이미 존재하는 데이터를 비교하지 않기 때문에, 프로그램이 그 위치에 이전에 존재했던 것과 동일한 데이터로 파일의 일부를 덮어쓰게 되면, 내용이 기술적으로 변경되지 않았음에도 불구하고 수정 시간이 업데이트될 것이다.

액세스 시간(시간)

파일의 액세스 시간은 파일이 가장 최근에 읽기 위해 열렸던 시기를 나타낸다.일반적으로 큰 파일의 작은 부분만 검사하더라도 액세스 시간은 업데이트된다.실행 중인 프로그램은 파일을 "열림"으로 얼마간 유지할 수 있으므로, 파일이 열린 시간은 파일에서 가장 최근에 데이터를 읽은 시간과 다를 수 있다.

일부 컴퓨터 구성은 데이터를 쓰는 것보다 읽는 속도가 훨씬 빠르기 때문에 매번 읽기 작업 후에 액세스 시간을 업데이트하는 것은 매우 비용이 많이 들 수 있다.일부 시스템은 접근 시간을 다른 시간보다 더 세분화하여 저장함으로써 이 비용을 경감시킨다. 접근 시간을 가장 가까운 시간이나 하루로만 반올림함으로써 짧은 시간 동안 반복적으로 읽히는 파일은 접근 시간을 한 번만 업데이트하면 된다.[4]Windows(윈도우)에서는 업데이트된 액세스 날짜를 디스크에 플러시하기 위해 최대 1시간까지 기다리면 이 문제가 해결된다.[5]

일부 시스템은 또한 접근 시간 업데이트를 전체적으로 비활성화할 수 있는 옵션을 제공한다.윈도우즈에서는 Vista로 시작하는 파일 액세스 시간 업데이트가 기본적으로 비활성화되어 있다.[6]

시간 및 생성 시간(ctime) 변경

Unix와 Windows 파일 시스템은 'ctime'을 다르게 해석한다.

  • 유닉스 시스템은 ctime의 역사적 해석을 파일의 권한이나 소유자(예: '이 파일의 메타데이터는 05/05/02/02 12:15pm')와 같이, ctime의 콘텐츠가 아닌 특정 파일 메타데이터가 마지막으로 변경된 시점으로 유지한다.
  • 윈도 시스템에서는 ctime을 사용하여 '생일 시간'([citation needed]예: '이 파일은 05/05/02/02 12:15에 생성되었다')을 의미한다.

이러한 사용량의 차이는 윈도우 시스템에서 생성된 파일에 액세스할 때 시간 메타데이터의 잘못된 표시로 이어질 수 있으며, 그 반대의 경우도 마찬가지일 수 있다.[citation needed]HFS+, ZFS 및 UFS2와 같은 일부 파일 시스템은 생성 시간을 저장하지만 대부분의 Unix 파일 시스템은 생성 시간을 저장하지 않는다. NTFS는 생성 시간과 변경 시간을 모두 저장한다.

창조시대의 의미론은 일부 논란의 근원이다.[citation needed]한 가지 견해는 생성 시간이 파일의 실제 내용을 참조해야 한다는 것이다. 예를 들어 디지털 사진의 경우, 사진을 찍었거나 컴퓨터에 처음 저장했을 때 기록될 생성 시간을 의미한다.다른 접근 방식은 파일 시스템 개체 자체가 생성되었을 때(예: 백업에서 마지막으로 사진 파일을 복원했거나 디스크 간에 이동했을 때)를 나타내는 것이다.

메타데이터 문제

모든 파일 시스템 메타데이터와 마찬가지로, MAC 시간에 대한 사용자의 기대치는 메타데이터를 인식하지 못하는 프로그램에 의해 위반될 수 있다.일부 파일 복사 유틸리티는 새 파일의 MAC 시간을 원본 파일과 일치하도록 명시적으로 설정하며, 새 파일을 만들고, 원본의 내용을 읽고, 그 데이터를 새 복사본에 쓰는 프로그램은 원본과 일치하지 않는 새 파일을 생산한다.

쓰기 작업이 중단될 경우 데이터가 손실되지 않도록 하기 위해 일부 프로그램은 기존 파일을 수정하지 마십시오.대신 업데이트된 데이터가 새 파일에 기록되고, 새 파일이 이동되어 원본 파일을 덮어쓴다.이 관행은 프로그램이 원본 파일에서 메타데이터를 명시적으로 복사하지 않는 한 원본 파일 메타데이터를 손실한다.Windows는 File System Tunneling이라는 해결책 기능으로 인해 영향을 받지 않는다.[7]

참고 항목

참조

  1. ^ Luque, Mark E. (2002). "Logical Level Analyses of Linux Systems". In Casey, E. (ed.). Handbook of Computer Crime Investigation: Forensic Tools and Technology. London: Academic Press. pp. 182–183. ISBN 0-12-163103-6.
  2. ^ Sheldon (2002). "Forensic Analyses of Windows Systems". In Casey, E. (ed.). Handbook of Computer Crime Investigation: Forensic Tools and Technology. London: Academic Press. pp. 134–135. ISBN 0-12-163103-6.
  3. ^ Dan Farmer (October 1, 2000). "What Are MACtimes?". Dr Dobb's Journal.
  4. ^ "File Times". Microsoft MSDN Library.
  5. ^ "File Times". Microsoft MSDN Library.
  6. ^ "Disabling Last Access Time in Windows Vista to improve NTFS performance". The Storage Team at Microsoft.
  7. ^ "Windows NT Contains File System Tunneling Capabilities". Microsoft Support.

외부 링크