파일 조작에 따른 파일 시간 변화 분석

Vol. 20, No. 3, pp. 79-92, 6월. 2010
10.13089/JKIISC.2010.20.3.79, Full Text:
Keywords: digital forensic, File, Folder, Time, Windows, NTFS, Filesystem
Abstract

디지털 포렌식 수사에 있어 시간 정보는 중요한 요소이다. 윈도우즈의 NTFS(New Technology File System) 환경에서 획득할 수 있는 파일의 시간 정보는 생성, 수정, 접근, MFT entry 수정 시간이며 이는 파일의 복사나 이동, 이름 변경 등의 사용자의 행위에 따라 특징적으로 변경된다. 이러한 시간 변경 특징은 사용자의 데이터 이동 및 데이터 변경 등의 행위 분석에 활용할 수 있다. 본 논문에서는 윈도우즈 운영체제 별로 사용자의 행위에 따른 파일이나 폴더의 시간 변화를 분석하여 이를 바탕으로 시스템 분석시 사용자의 행위를 유추할 수 있도록 한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
J. Bang, B. Yoo and S. Lee, "Timestamp Analysis of Windows File Systems by File Manipulation Operations," Journal of The Korea Institute of Information Security and Cryptology, vol. 20, no. 3, pp. 79-92, 2010. DOI: 10.13089/JKIISC.2010.20.3.79.

[ACM Style]
Je-Wan Bang, Byeong-Yeong Yoo, and Sang-Jin Lee. 2010. Timestamp Analysis of Windows File Systems by File Manipulation Operations. Journal of The Korea Institute of Information Security and Cryptology, 20, 3, (2010), 79-92. DOI: 10.13089/JKIISC.2010.20.3.79.