본문 바로가기

[+] Forensic

Mac OS X - Live Response (3)

포렌식에서 어떤 대상을 분석하던 시간은 정말 중요한 정보이며 사건의 기준이 된다. Mac OS X에서는 시간 값이 어떻게 변화되는지 간단하게 알아보자.

Mac OS X도 다른 OS나 파일시스템과 동일하게 MAC(Modify, Access, Create) Time이 존재하고, 여기에 추가적으로 Change Time이 존재한다.(HFS+ 파일시스템에서 시간 정보는 Catalog File의 파일레코드에 존재한다.)


[그림 1 - 시간 종류별 설명]


 * 참고 : Change Time이 갱신 될 경우 Modify Time도 같이 갱신 된다.


그럼 이제부터 [그림 1]의 설명들이 무엇을 의미하는지 알아보도록 하겠다. touch 명령어로 간단히 파일을 생성하고 그 시간을 한번 알아보면 [그림 2]와 같다.


[그림 2 - 파일생성 및 시간 확인]


[그림 2]를 보면 총 4개의 시간 값이 출력되어 있는데 첫 번째 시간 값부터 Access, Modify, Change, Create Time이다.

일단 파일의 내용을 수정하여 보면 [그림 3]과 같이 해당 파일의 Modify Time과 Change Time이 수정 되는 것을 볼 수 있다.


[그림 3 - Modify, Change Time 갱신]


이번엔 권한 수정을 통해 메타데이터를 수정하면 정말 Change Time이 갱신 되는지 확인하여 보자.


[그림 4 - Change Time 갱신]


[그림 4]를 통해 Change Time이 갱신 된 것을 볼 수 있다.

마지막으로 Access Time을 살펴보자. 간단히 cat 명령으로 파일을 열어보면 [그림 5]와 같이 Access Time이 변경 된 것을 확인 할 수 있다.


[그림 5 - Access Time 갱신]


이렇듯 사용자가 파일이나 디렉토리에 변경이나 접근, 어떠한 행위를 하게 되면 시간 값들은 업데이트 되어 특정 사건의 특정 행동 기준점을 세울 수 있게 도와준다.


'[+] Forensic' 카테고리의 다른 글

Mac OS X - Live Response (5)  (2) 2012.05.06
Mac OS X - Live Response (4)  (0) 2012.05.03
Mac OS X - Live Response (3)  (0) 2012.05.03
Memory Forensics PoketBook(KR)  (0) 2012.04.30
Mac OS X - Live Response (2)  (0) 2012.04.30