참고문서 : http://digital-forensics.sans.org/blog/2010/11/02/digital-forensics-time-stamp-manipulation/
위 글에서 나온 시간 변화 별 행위 표를 이용하여 간단하게 체크할 수 있는 엑셀 시트를 만들어 보았다.
사용 법은 엑셀 시트 오른쪽 상단에 적어두었다.
'[+] Forensic' 카테고리의 다른 글
파이썬으로 파일시스템 깊이 있게 분석하기 -1- (0) | 2015.07.04 |
---|---|
[정리] 슈퍼패치 활용 (2) | 2015.01.31 |
시간 변화 별 행위 파악 엑셀 시트 (3) | 2014.12.11 |
[정리] Linux Timestamp Change Table (2) | 2014.09.11 |
[Tool] Windows JumpList Analysis Tool (0) | 2014.08.11 |
안녕하세요 블로그통해서 왔습니다.
한수 배우도록 하겠습니다.
엑셀 수식에 의한 결과가 실제 행위와 약간 틀리게 나오는거 같은데요,
같은 하드디스크 내에서 C드라이브(파티션)와 D드라이브(파티션)를 나눠서 쓰고 있다고 치고,
① C드라이브에서 D드라이브로 파일 이동
② C드라이브에서 D드라이브로 파일 복사후 원래의 C드라이브 파일 삭제
①,②의 결과는 똑같지만 과정은 살짝 다릅니다.
위 두 가지 경우에서 타임스탬프 관련 엑셀 수식도 다르게 나오는지요?
결국은 볼륨간 이동이긴 한데, 로컬에서 삭제 행위가 있고 없고의 차이이거든요..
해석하기에 따라 행위 양상이 다르게 평가될 수 있는 부분이 있어서 질문 드립니다.
질문 감사합니다.
두 과정을 엑셀 파일에서는 판별해주지 않습니다. 단지 시간을 비교하여 판단을 하도록 조건식을 만들어두었습니다.
질문주신 과정들은 결과가 동일하므로 복사된 파일의 시간만으로 두 과정을 판별해내기는 어렵습니다. 다만, 원본 파일의 삭제 시간과 복사된 파일의 시간을 이용해 연관성 판단을 했을 때 두 과정을 판단할 수 있습니다.
또한 엑셀 파일에 정의된 행위가 이뤄졌을 때 매번 동일하게 시간이 변화하는 것은 아니면 여러 행위가 겹치게 되면 해당 파일에 일어난 행위는 파일의 시간 값만으로 위 엑셀에서 모든 행위를 판단할 수 없습니다.
이 점 참고하여 엑셀 파일을 사용하시기 바랍니다.
감사합니다.