近幾年計算機網絡的高速發展，各個行業的業務都依懶于計算機的應用。從而導致各個行業涉及計算機、局域網、互聯網的高科技犯罪、商業欺詐、白領犯罪等行為越來越多，因此有越來越多的咨詢顧問公司、商業調查機構、會計師行、私人調查公司開始從事計算機取證服務。在國際上，軍隊、警察、海關、反貪、金融、稅務、律師、保險等部門是電子證據的主要應用部門。計算機取證的應用已經成為一門專用的學科了。

計算機取證與真實生活中的偵探工作很相似――當一個人被殺后，偵探會開始一系列的調查工作：首先，保護和隔離犯罪現場；然后，拍照并作記錄；最后，開始調查并收集和整理所有能發現的證據。計算機取證分析的主要目的是盡可能真實地恢復出過去發生的事情。在取證過程中，案發的時間信息是非常關鍵的，可以在做出最后判斷之前將各種可能得到的信息關聯起來。在本篇文章中，葉子淺析計算機取證中的MACtimes概念及其罪犯可能利用相關的工具進行修改MACtimes信息的例子。

什么是MACtimes？MACtimes是文件系統元數據記錄，記錄文件的最后創建、修改、訪問的時間，分別稱為“create time(ctime)”、“Modify time（mtime）”、“access time(atime)”。

在MACtimes中的 Mtime指最后修改的時間； Atime指最后訪問的時間； Ctime指最后狀態改變的時間。MACtimes是數據偵察工具中最有價值的取證工具，利用它可以完成許多功能：研究網絡或計算機被侵入的過程，理解系統的行為，提供保護系統的建議，跟蹤用戶的行為等。因此在案件發生后，對計算機進行相關的取證，除了及時收及一些易丟失的證據外，還可以利用MACtimes從運行著的系統中獲取信息，也可以從硬盤中獲取（通過mount掛上該硬盤）。讀取數據的機器不需要和產生MACtimes數據的機器擁有相同的操作系統。Windows文件系統有4個時間屬性：changetime、creationtime、lastaccesstime、lastwritetime，Linux還有dtime屬性（刪除文件的時間屬性，僅存在Linux系統中）。

mtime （modify time）反映的是文件數據最后被修改的時間，系統調用比如write, trucate, mknod 都會改變mtime。Mtime屬性只能記錄最后一次的文件內容修改的時間，之前的文件內容修改的時間則無法記錄。一些木馬程序通過動態庫的形式注入到系統進程時，則會修改相關系統進程的Mtime時間屬性。ctime（change time）反映的是文件的inode結構最后被改變的時間，文件在創建時產生的時間信息。atime（access time）反映的是文件數據最后被訪問的時間。當系統調用execve, read, mknode, utime, pipe等都會修改atime。如果直接訪問文件查看atime的屬性，則會是當前訪問文件的時間屬性。

雖然MACtimes很有用，但它還是存在著一些問題：它只能記錄文件的最后時間，因此不能了解文件或目錄的歷史行為。比如一個程序能夠被執行1000次，而用MACtimes只能看到最后一次的記錄。MACtimes中的三個時間很容易被修改，很多是在用戶并不希望發生的情況下出現的，如一些誤操作。另外MACtimes也是比較容易被偽造的，WinNT提供了用來修改ctimes的SetFileTime()命令等。

為了最大限度地利用MACtimes，最好將MACtimes與其他信息收集方法結合起來，如：運行程序，進程統計，系統和程序的日志，內核審計和通常的審計等。

在認識了計算機取證的MACtimes知識后，葉子舉例說明在Windows平臺上修改相關的MACtimes的信息內容。先從Metasploit網站上的Anti-Forensic項目中下載Timestomp工具，下載鏈接：http://www.metasploit.com/research/projects/antiforensics/。Timestomp工具是針對Windows系統的NTFS文件格式的時間戳的MAC times的修改。