728x90
반응형
FAT32 파일 시스템과 달리 NTFS 파일 시스템에서 시간에 대한 정보는 또 다른 하위 MFT Entry에 저장하게 됩니다.
시간 정보를 저장하는 속성은 $Standard_Information 속성과 $File_Name 속성 두 가지가 있습니다.
$Standard_Information
| 의미 | 내용 |
| Attribute Type ID | 속성 타입 식별 값으로 [10 00 00 00]을 찾으면 됨 |
| Time | 각각의 8바이트로 구성되어 있으며 생성, 수정, MFT 수정 시간, 마지막 접근 시간이 저장되어 있음 |
$File_Name
| 의미 | 내용 |
| Attribute Type ID | 속성 타입 식별 값으로 [30 00 00 00]을 찾으면 됨 |
| Time | 각각의 8비트로 구성되어 있으며 생성, 수정, MFT 수정 시간, 마지막 접근 시간이 저장되어 있음 |
| Real Size of File | 실제 파일의 사이즈가 저장 |
| FileName | 파일 이름이 저장 |
$Standard_Information과 $File_Name 영역에 저장된 시간 정보는 Windows 64bit 리틀-엔디안 방식으로 저장되어 있으므로 시간 변환 도구 (Time Decode)를 이용하여 변환할 수 있습니다.
또한 $Standard_Information에 저장된 시간은 수시로 변하지만 $File_Name에 저장된 시간은 한 번 저장되면 변하지 않으므로 위변조 사항을 추적할 때 중요한 단서가 됩니다.
728x90
반응형
'디지털 포렌식 (Forensic) > 디스크 포렌식 (Disk)' 카테고리의 다른 글
| [디스크 포렌식] GPT 파티션 분석 (1) | 2020.12.14 |
|---|---|
| [디스크 포렌식] NTFS 파일 시스템 Non-Resident $DATA 속성 (0) | 2020.12.07 |
| [디스크 포렌식] NTFS 파일 시스템의 Resident 속성, Non-Resident 속성 (0) | 2020.12.04 |
| [디스크 포렌식] NTFS 파일 시스템 (0) | 2020.12.04 |
| [디스크 포렌식] 긴 파일 이름을 가진 FAT32 파일시스템 (0) | 2020.12.04 |
