NTFS에는 M(Modified), A(Accessed), C(Created), E($MFT Entry Record Update Time)이 있습니다.
파일의 이동과 복사 등의 많은 상황에 따라 시간 값이 변화 되는 특징을 정리 해 보았습니다.
외워두면 편하겠지만, 외워야 할 경우들이 많아서 참고 시 참고용도로 보시면 좋을 것 같습니다.
<그림을 클릭하면 크게 보실 수 있습니다.>
'[+] Forensic' 카테고리의 다른 글
| [정리] 로컬시스템 시간 변경 흔적(Local System Time Change Artifact) (3) | 2014.04.11 |
|---|---|
| APT(Advanced Persistent Threat) incident response with Event Log (0) | 2014.04.04 |
| ADD(Attention-Deficit-Disorder)에 대하여 (0) | 2014.02.02 |
| BitTorrent Sync에 대하여 (0) | 2014.01.23 |
