ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • 포렌식 분석에서 중요한 타임 스탬프(Time Stemp)!!
      $ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 6. 9. 21:47

      포렌식 분석에 있어서 타임 스탬프는 중요한 의미를 갖는다. 

      타임 스탬프의에 따라서 사건의 경위를 추측하고 방향을 정할 수 있습니다. 

       

      그정도로 분석에 있어서 타임 스탬프는 매우 중요한 역할을 합니다.

       

      다음에 타임 스탬프에 대해서 다시 이야기 하겠지만 간략히 이야기 해보자면..

       

      사전적인 뜻으로 "어떠한 것을 시간 순서에 따라서 나열한 것" 을 타임라인(Timeline)이라고 합니다.

      포렌식 분야에서도 타임라인 이라는 단어를 자주 사용하지만, 그 뜻도 사전적인 의미와 거의 비슷합니다.

       

      특정 환경, 특정 사건에 남아 있는 기록들을 시간 순으로 나열해서 정리 한 것을 의미 합니다.

       

       

       

      기록을 시간순으로 정리 하기 위해서는 남아 있는 기록 이외에도 추가적인 정보가 필요합니다.

      시스템은 어떠한 행위 또는 어떠한 작업에 시간 기록을 추가로 남겨 두는데 그 것을 타임 스탬프(Time Stamp) 라고 한다. 

       

       

      위의 사진을 보면 date 명령어로 현재 시간을 먼저 확인해 주고 1004.txt 파일을 생성하고  해당 파일의 타임스탬프를 확인하기 위해서 stat 파일명 명령어를 사용해서 확인해 봤습니다. 

       

       

      파일을 만들기전 시간 : 2019. 06. 08 21:05:44

      파일을 만든후 파일의 타임 스탬프 : 2019. 06. 08 21:05:51

      그리고 해당파일에 i am 1004 라는 문자열을 입력하고 저장후 다시 파일의 타임스탬프를 확인했습니다.

       

      파일 수정후 파일의 타임 스탬프 : 2019. 06. 08 21:06:11

       

      위와 같이 파일 스탬프가 변하는 것을 확인 할 수 있습니다. 

       

      다음 사진을 한번 확인해 보겠습니다.

       

      파일의 내용을 확인해 보고나서 다시 파일 스탬프를 확인해 봤는데 Access. Modify, Change 의 3가지 타임스탬프중에서 Access 부분의 파일 스탬프만 변한 것을 확인 할 수 있습니다. 

       

      각각의 스탬프 종류를 이야기 해보겠습니다.

       

      (1) mtime (last Modification time) : 파일의 내용을 마지막으로 수정한 시간

      (2) atime (last Access Time) : 파일을 마지막으로 접근한 시간

      (3) ctime (last Change Time) : 파일의 속성을 마지막으로 수정한 시간

       

      위에서 cat 1004.txt로 내용을 확인만 했기 때문에 atime인 Access만 변한 것을 확인 할 수 있습니다.

       

      맨처음에는 vi 1004.txt 를 이용해서 파일에 글을 작성 했었습니다.

      접근을 하고 파일의 내용을 수정하고 파일의 크기가 더 커졌기 때문에 파일의 속성이변했기 때문에 Access, Modify, Change의 파일 스탬프가 전부 번한 것 입니다.

       

       

      각 운영체제와 파일 시스템 마다 시간 정보를 기록해 두는 요소가 달라져서 분석 환경에 따라서 어떠한 시간 정보가 남는지를 미리 숙지를 하고 있으면 좀더 정확한 분석이 될 것 같습니다.

       

      타임 스탬프 (Time Stemp)에 대해서 이야기를 하기 전에 타임라인(Timeline)에 대해서 이야기 했었습니다. 

       

      타임 라인 중에서도 전체 시스템을 구축한 타임라인인 수퍼 타임라인(Super TimeLine)이라는 것이 있습니다.

      타임 스탬프를 일일히 다 찾아서 직접 수퍼 타임라인을 제작하는 것은 매우 힘들고 불가능에 가까운 작업입니다.

       

      그래서 수퍼 타임라인을 구축해 주는 대표적은 도구가 있습니다.

       

      log2timeline 이라는 도구인데 도구의 사용법은 아래의 URL에서 설명하고 있습니다. 

      https://digital-forensics.sans.org/blog/2011/12/07/digital-forensic-sifting-super-timeline-analysis-and-creation#

       

      log2timeline 툴이 통합 타임라인을 얻을 수 있지만 각각의 행위를 맞추어 하나의 사건으로 묶는 것은 분석하는 사용자의 역량에 달려있다. 

      또한 타임 스탬프는 조작이 쉽기 때문에 생성된 타임 스탬프가 정확하지 않을 수도 있다.

       

      타임 라인에 대한 내용을 나중에 다시 다뤄 보도록 하겠습니다.!

       

       

      '$ 포렌식 $ > $ 포렌식 기술적 이론 $' 카테고리의 다른 글

      썸네일 포렌식(Thumbnail Forensics)  (0) 2019.07.07
      MBR (Master Boot Record)  (0) 2019.06.24
      하드디스크(Hard Disk Drive, HDD) 구조와 작동 원리 및 각종 규격  (0) 2019.06.24
      FTK Imager을 이용해서 디스크 이미지 만들기  (3) 2019.06.13
      File Carving 이란?  (1) 2019.06.12

      관련글 관련글 더보기

      댓글

    Designed by Tistory.

    티스토리툴바