MAC[B]orned! (Hello World)

A fim de iniciar os textos sobre o ‘forencês’ ou forensics deste blog, começo com um tema bem interessante.

O título diz respeito a um termo bastante conhecido na comunidade de Computação Forense: MAC Times. Este faz referência às informações de data e horário armazenadas nas estruturas de metadados de arquivos, presentes nos sistemas de arquivos mais conhecidos (NTFS, EXT2, FAT32, etc). A sigla possui o seguinte significado:

Modified

Accessed

Created

Na verdade, hoje já se fala mais em MACB Times (MFT Entry Modified, Accessed, Changed, Born) ou MACE Times (Modified, Accessed, Created, MFT Entry Modified) devido à existência da informação relativa à modificação do próprio metadado de um arquivo. Vale lembrar que nem todos os sistemas de arquivos oferecem ou suportam todas essas informações.

No sistema de arquivos FAT32, por exemplo, não existe a informação relativa ao último horário de acesso de um arquivo (diferente da data), como se pode ver abaixo:

Untitled

No futuro, tentarei escrever algo somente sobre MFT e Inodes. Por enquanto, ficamos por aqui. Até a próxima!

4 thoughts on “MAC[B]orned! (Hello World)

  1. Valeu Tony!

    Um dia chegarei ao nível de qualidade dos posts do forcomp.blogspot.com! :D

    Abraço

    Alexandre

Comments are closed.