반응형
파일의 생성 및 수정시간에 대해서 알아보자
파일 수정은 파일이 생성된 상태에서 가능하기 때문에 보통은 아래와 같이 볼 수 있다.
생성시간 <= 수정시간 ( 생성시간은 수정시간보다 앞 서거나 같다)
하지만
파일 생성은 디스크 관점이고, 파일 수정은 파일 관점의 시각임을 알아야한다.
ex)
D드라이브에 있는 파일은 2019년 11월 1일에 생성이 되었다.
그 파일은 2019년 12월 30일날 수정이 되었다.
D드라이브에 있는 파일을 C드라이브로 2020년 1월 1일로 옮겼다.
그러면 C드라이브에서는 생성이 2020년 1월 1일이고 수정이 2019년 12월 30일이라는 시간을 가지고 있다.
그러면 위에 있는 생성시간 <= 수정시간의 논리가 맞지 않게된다.
즉, 이런 경우는 외부에서 복사가 되었다. 라고 볼 수있다.
반응형
'DFIR > DFIR' 카테고리의 다른 글
| [Windows Forensics] 이벤트 로그 (0) | 2021.11.10 |
|---|---|
| 프리패치(Prefetch)란? (0) | 2021.07.04 |
| 쓰기 방지(Write block)란 ? (0) | 2021.06.25 |
| Jumplist 란? (0) | 2021.06.25 |
| LNK 바로가기란? (0) | 2021.06.19 |