MACtime

Mit dem Begriff "MACtime" (Modification, Access, Change) werden im Kontext der IT-Forensik drei wesentliche Arten von Zeitstempeln bezeichnet, die in Dateisystemen in der Regel für jede Datei protokolliert werden:

• M = Modification time (mtime)
• A = Access time (atime)
• C = Creation time (crtime) oder Change time (ctime)

Die Zeitstempel können forensisch genutzt werden, um Verhalten von Angreifern bzw. Auswirkungen von Angriffen dokumentieren und analysieren zu können. Dabei ist im Rahmen der Datenerhebung, -analyse, und -interpretation zu berücksichtigen, dass das jeweilige Betriebssystem eine wichtige Rolle spielt, da bspw. Windows- und UNIX-Systeme verschiedene Implementierungen von Zeitstempeln aufweisen.

Weiterführende Informationen finden sich hier und hier.