윈도우의 파일 시스템에는 현재 크게 NTFS 와 FAT의 두가지 파일 시스템이 존재하는데, 전자는 시간정보를 Filetime 형식으로 저장하며 후자는 시간정보를 MS-DOS Date/Time 형식으로 저장합니다. 각각의 서로 다른 형식의 시간 정보를 직접 HxD를 통해 헥스 데이터로 읽어가며 하나씩 분석을 해보고자 합니다. 먼저, 조금 더 단순? 하다고 느껴지는 FAT 32 파일시스템의 시간정보부터 먼저 분석해보도록 하겠습니다.
따라서, MS-Dos Time 방식의 파일을 찾기 위해 FAT32 파일시스템으로 구성된 내 컴퓨터의 D 드라이브를 HxD로 분석해 보았습니다. 최종 목적은 위의 License.txt 파일의 시간정보를 얻어내는 것입니다.
다만, D드라이브의 용량이 1TB에 가깝다 보니 자동으로 파일의 포맷을 나누어주는 Winhex 프로그램에서 제대로 인식을 하지 못해서 차례차례 접근하기보다는 직접 License.txt의 파일명을 HxD에서 검색해 직접 Directory Entry에 접근하였습니다.
해당하는 License.txt 비트열을 위에 나와 있는 FAT32 의 Directory Entry 포맷에 맞추어 해석하면 위 그림의 빨간 밑줄 부분이 바로 Write Time & Write Date, 즉 수정 시각이 됩니다. 이를 날짜 표현 포맷에 맞추어 재해석하면 아래 표와 같습니다. (Little-Endian 방식)
위의 시간을 직접 아래의 파일 속성으로 확인한 ‘수정한 날짜’ 와 비교하면 정확히 맞는 것을 확인할 수 있다.
다음 번에는 NTFS 파일시스템의 파일 시각 정보가 기록된것을 분석해보도록 하겠습니다.
'사이버 보안 > 디지털 포렌식' 카테고리의 다른 글
| File Time 방식으로 표현된 파일 생성 시각 분석 (0) | 2020.07.10 |
|---|---|
| PC 물리메모리 덤프를 통해 ID, Password 정보를 찾아보자 (0) | 2020.07.09 |
| Exif Viewer를 통한 사진의 메타데이터 분석 (0) | 2020.07.06 |
