루트 디렉토리의 CreateTime, CreatedDate 계산
CreateTime은 파일이 생성된 시간을, CreatedDate는 파일이 생성된 날짜를 나타냅니다.
루트 디렉토리에는 16진수 형태로 저장되어 있기 때문에, 이를 계산해 보겠습니다.
예시 파일입니다. CreateTime 영역은 93 A6으로 적혀있고 CreatedDate 영역은 82 48로 적혀있습니다.
1. CreateTime 계산
CreateTime 영역이 93 A6으로 적혀있으므로, 리틀엔디안 방식으로 변경하면 A6 93으로 읽을 수 있습니다.
이를 2진법으로 변환하면 1001 0011 1010 0110 이 나옵니다.
이 2진수 16자리를 5-6-5로 끊어 읽어주고, 이를 다시 10진수로 변환해주면 됩니다. (초 단위는 *2 해주어야 함)
즉 10010 / 011101 / 00110 으로 끊어 읽어주고, 이를 10진수로 변환하면 18, 29, 6이 됩니다.
이 숫자가 시, 분, 초 단위가 되므로 초 단위인 6에 2를 곱해주면 18시 29분 12초라는 결과가 나오게 됩니다.
2. CreatedTime 계산
CreatedTime 영역이 82 48로 적혀있습니다. 이를 리틀엔디안 방식으로 변경하면 48 82로 읽을 수 있습니다.
이를 2진법으로 변환하면 0100 1000 1000 0010이 됩니다.
이 2진수 16자리를 7-4-5로 끊어 읽어주고, 이를 다시 10진수로 변환해주면 됩니다. (년 단위는 +1980 해주어야 함)
즉 0100100 / 0100 / 00010 으로 끊어 읽어주고, 이를 10진수로 변환하면 36, 4, 2가 됩니다.
이 숫자가 년, 월, 일 단위가 되므로 년 단위에 1980을 더해주어 2016년 4월 2일이라는 결과가 나오게 됩니다.
'디지털 포렌식 (Forensic) > 디스크 포렌식 (Disk)' 카테고리의 다른 글
| [디스크 포렌식] NTFS 파일 시스템 (0) | 2020.12.04 |
|---|---|
| [디스크 포렌식] 긴 파일 이름을 가진 FAT32 파일시스템 (0) | 2020.12.04 |
| [디스크 포렌식] 루트 디렉토리 추적 (0) | 2020.12.04 |
| [디스크 포렌식] FAT32 파일 시스템 (0) | 2020.12.03 |
| [디스크 포렌식] 3.20 악성코드 감염 MBR 복구 (0) | 2020.12.02 |
