참고문서 : http://digital-forensics.sans.org/blog/2010/11/02/digital-forensics-time-stamp-manipulation/


위 글에서 나온 시간 변화 별 행위 표를 이용하여 간단하게 체크할 수 있는 엑셀 시트를 만들어 보았다.


사용 법은 엑셀 시트 오른쪽 상단에 적어두었다.





시간변화 매크로.xlsx


저작자 표시 비영리 변경 금지
신고
  1. BlogIcon 해피용 2014.12.24 06:34 신고

    안녕하세요 블로그통해서 왔습니다.
    한수 배우도록 하겠습니다.

  2. 하일리거 2015.04.28 14:37 신고

    엑셀 수식에 의한 결과가 실제 행위와 약간 틀리게 나오는거 같은데요,
    같은 하드디스크 내에서 C드라이브(파티션)와 D드라이브(파티션)를 나눠서 쓰고 있다고 치고,

    ① C드라이브에서 D드라이브로 파일 이동
    ② C드라이브에서 D드라이브로 파일 복사후 원래의 C드라이브 파일 삭제

    ①,②의 결과는 똑같지만 과정은 살짝 다릅니다.
    위 두 가지 경우에서 타임스탬프 관련 엑셀 수식도 다르게 나오는지요?

    결국은 볼륨간 이동이긴 한데, 로컬에서 삭제 행위가 있고 없고의 차이이거든요..
    해석하기에 따라 행위 양상이 다르게 평가될 수 있는 부분이 있어서 질문 드립니다.

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2015.04.30 10:20 신고

      질문 감사합니다.

      두 과정을 엑셀 파일에서는 판별해주지 않습니다. 단지 시간을 비교하여 판단을 하도록 조건식을 만들어두었습니다.

      질문주신 과정들은 결과가 동일하므로 복사된 파일의 시간만으로 두 과정을 판별해내기는 어렵습니다. 다만, 원본 파일의 삭제 시간과 복사된 파일의 시간을 이용해 연관성 판단을 했을 때 두 과정을 판단할 수 있습니다.

      또한 엑셀 파일에 정의된 행위가 이뤄졌을 때 매번 동일하게 시간이 변화하는 것은 아니면 여러 행위가 겹치게 되면 해당 파일에 일어난 행위는 파일의 시간 값만으로 위 엑셀에서 모든 행위를 판단할 수 없습니다.

      이 점 참고하여 엑셀 파일을 사용하시기 바랍니다.

      감사합니다.

윈도우 NTFS 파일시스템의 타임스탬프 변화 표는 여러 블로그와 홈페이지에 연구되어 포스팅되어 있는 것들을 보았지만, 아직까지 리눅스 배포판에 대한 정리 표가 없는 것 같아 정리를 해 보았다.


리눅스 배포판 중 우선 Ubuntu 배포판을 선택하여 Ext3 파일시스템의 시간 변화에 대하여 조사하였고, 아래와 같이 엑셀 파일로 정리하였다.


혼자 정리했기 때문에 빠진 행위나 부족한 점이 있을지도 모르니 피드백을 보내면 피드백을 수렴하여 현재 배포판의 표 수정과 함께 다음 배포판 변화 표에 추가해 정리하도록 하겠다




리눅스 배포판 Time 변화 표 v0.1.xlsx




저작자 표시 비영리 변경 금지
신고
  1. Favicon of http://blueh4g.tistory.com BlogIcon bughela 2014.10.28 16:07 신고

    우와.. 정말 천재시네요 ㅜㅜ 이런건 어떻게 하나요? ㅠㅠㅠ

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2014.10.30 16:31 신고

      앗, ㅋㅋㅋㅋ 깜짝이얔ㅋㅋㅋ

      포렌식 공부하시면 할 수 있습니당!

+ Recent posts