디지털 포렌식에서 시간정보는 매우 유용하다. 특정 시점을 중심으로 사건을 분석하기 위해서는 각 파일시스템 및 파일에서 사용하는 시간 표현 방식을 이해할 필요가 있다. 하지만, 시간 표현 방식이 매우 다양해 각 동작 방식을 모두 이해했다고 하더라도 매번 변환시키는 것은 어렵다. 그렇다면 쉽게 미리 프로그램을 해 두고 해당 프로그램을 사용하면 될 것이다.
그렇지만, 이미 있다면 있는 것을 최대한 이용하는 것도 더 좋은 방법이다. 보통 EnCase 에서도 Bookmark Data를 통해 데이터 표현 방식을 변환할 수 있다.
EnCase에서 지원하는 시간정보 변환 방식은 다음과 같이 11개이다.
- DOS Date
- DOS Date u(GMT)
- Unix Date
- Unix Date Big-Endian
- Unix Text Date
- HFS Date
- HFS Plus Date
- Windows Date/Time
- Windows Date/Time (Localtime)
- OLE Date
- Lotus Date
물론 EnCase와 같이 포렌식 종합 도구가 이러한 변환을 지원한다면 더할 나위가 없겠다. 하지만, 항상 EnCase 와 같은 도구를 사용할 수 있는 분석이 아니고, 좀 더 다양한 변환 방식이 필요하다면 DCode라는 도구를 사용해 보자. 인코딩 변환 뿐만아니라 UTC 설정도 가능하다.
DCode는 Digital Detective 社에서 개발한 도구로 무료 도구이다. 다음의 URL을 통해 다운 받을 수 있다.
http://www.digital-detective.co.uk/freetools/decode.asp
지원하는 시간정보 인코딩 변환 방식은 다음과 같다.
- Windows : 64 bit (Little Endian)
- Windows : 64 bit (Big Endian)
- Windows : Cookie Date
- Windows : Filetime
- Windows : OLE (64 bit Double)
- Windows : 128 bit SYSTEM Structure
- Unix : 32 bit Hex Value (Little Endian)
- Unix : 32 bit Hex Value (Big Endian)
- Unix : Numeric Value
- Unix : Millisecond Value
- Google Chrome Value
- MAC : Absolute Time
- MS-DOS : 32 bit Hex Value
- MS-DOS : wFatDate wFatTime
- HFS : 32 bit Hex Value (Little Endian)
- HFS : 32 bit Hex Value (Big Endian)
- HFS+ : 32 bit Hex Value (Little Endian)
- HFS+ : 32 bit Hex Value (Big Endian)
If you enjoyed this article, please consider sharing it!
