São atributos de tempo de um arquivo (mtime, atime e ctime).
- mtime (Modification time): mostra a última data e hora em que o arquivo foi modificado.
- atime (Access time): mostra a última data e hora em que um diretório ou arquivo foi acessado/lido.
- ctime (Creation time): mostra a data e hora em que arquivo foi criado.
MACtimes podem ser coletados bastante tempo depois de um incidente. Eles, porém, são muito
efêmeros. A simples abertura de um diretório ou arquivo mudará o seu atime, assim como algumas ferramentas de gerenciamento de arquivos com interface gráfica (métodos adequados para uma
análise que não modifique os MACtimes são discutidos na seção seguinte). Outro problema dos
MACtimes é que eles exibem apenas quando uma ação foi feita, e não quem a fez.
Outra desvantagem dos MACtimes é o fato de eles serem facilmente forjados. Técnicas que dificultam o trabalho do perito forense são discutidas na seção 7.