타임라인 분석이란?
사건이 일어난 시점을 중심으로 생성/수정/삭제/접근한 파일을 살펴보는 것이다.
분석대상에 대한 우선순위 선별로 효율적인 분석 가능
침해 대응시 공격자가 모든 시간정보를 변경하기 어렵다는점 이용, 공격에 대한 단서 및 추적 용이.
등의 효과를 볼 수있다.
모든 분석작업에서 기본적으로 시간데이터는 함께 분석 되기 때문에 중요하다고 볼 수 있다.
파일에 대한 생성/이동/복사 등에 대한 작업을 실행 할 때 MAC time 은 어떤 상태를 보이는가
| 복사 | 이동 |
생성시간 | 변경 | 유지 |
수정시간 | 유지 | 유지 |
접근시간 | 변경 | 변경 |
* 타임스탬프
: 파일 타임 스탬프는 1601년 1월 1일 12:00AM, UTC(Coordinated Universal Time) 을 시작으로 100나노세컨드단위로 64비트값으로 저장된다. 시스템은 프로그램이 파일을 생성, 접근 수정했을 경우 파일타임을 기록한다.
NTFS의 타임스탬프
- UTC포맷 시간값을 저장
- 타임존 변경에 영향을 받지 않음
예) 타임존이 Asis/Seoul(+9)일때 NTFS파일시스템에 저장되어 있는 파일의 시간값이 2016/1/1 10:00 AM이면, 저장될 때에는 UTC기준으로 2016/1/1 01:00 AM 시간으로 저장된다.
FAT의 타임스탬프
- 로컬타임 기준으로 시간값 저장
- 타임존 변경에 영향을 받는다.
예) 타임존이 Asis/Seoul(+9)일때 FAT파일시스템에 저장되어 있는 파일의 시간값이 2016/1/1 10:00 AM이면, 저장될 때에에도2016/1/1 10:00 AM 시간으로 저장된다.
'Kitri_NCS3기 보안과정 > 디지털포렌식' 카테고리의 다른 글
| 170512 컴파운드 파일 분석 (0) | 2017.05.12 |
|---|---|
| 170512 디지털포렌식의 특성 (0) | 2017.05.12 |
| 170511 FAT32 복구 실습 (0) | 2017.05.11 |
| FAT32(LFN의 개념과 HxD에서 파일생성하기) (0) | 2017.05.10 |
| 170428 FAT32 (0) | 2017.04.28 |
