PC 환경 windows10 pro ,1909 포렌식 관점에서 시스템 시간 변경 행위는 중요하다. 하지만 시스템 자체에서 시간을 자동적으로 맞추는 기능과 사용자가 직접 시간대를 변경한 행위를 구분지어야한다. 시간 변경으로 행위를 감추려는 흔적을 의심할 수 있기 때문이다. 아래 CASE1, 2는 프로젝트를 진행하면서 사용자와 시스템 사이에서 어떤 로그가 또는 어떤 로그를 같이봐야 사용자가 수동으로 시스템 시간을 변경한 것인지에 대해 실험을 해보았다. CASE1 아래는 보안로그에서의 시간대 변경 로그이다. Security이벤트 로그에서 확인 가능한 이벤트 아이디는 4616 이다. 해당 이벤트 로그의 주체를 보면 보안 ID와 이름은 LOCAL SERVICE로 동일하며, 계정 도메인은 NT AUTHORITY이다..
