TimeStamp
포렌식이나 리버싱을 하다보면 HxD 같은 툴을 이용해서 바이너리를 직접 확인해야 하는 경우가 많다. 그러면서 각 파일들의 구조도 보게되며 많은 구조들을 접할 수 있게된다. 그 중에서 항상 어딜가나 빠지지 않는 것이 바로 타임스탬프이다. 이러한 타임스탬프의 경우 그리 중요하지 않게 여기기도 하지만 포렌식에 있어서 시간은 사건에 직접적으로 관련이 있으므로 중요하다.
이러한 타임스탬프의 경우 다양한 툴 PEViewr나 PrefetchView 등 많은 프로그램이 자체적으로 확인을 해서 나타내준다. 하지만 이번에 포스팅을 하는 가장 큰 이유는 프리패치와 카빙을 공부하면서 직접 바이너리로 봐야할 경우가 있을 것 같기에 포스팅을 해본다.
4WebHelp
시간을 변환해주는 다양한 툴들이 존재하겠지만, 필자는 간단하게 어디서든 접근할 수 있는 온라인사이트를 통하여 진행하였다. http://www.4webhelp.net/ 에 접속을 하면 아래와 같이 Unix Timestamp Converter라고 되어있는 부분을 클릭하면 된다.
HxD를 통해 확인한 파일의 타임스탬프는 0x4CF52765 라고 되어 있으며 이를 10진수로 변환해주면 아래와 같은 값이 된다.
이 값을 아래에 넣어주고 Convert to a date 버튼을 눌러주면 해당 날짜가 출력이 되는 것을 확인할 수가 있다. 참고로 위에선 Unix라고 되어있긴하지만 필자의 pc는 윈도우에서 진행했음에도 불구하고 올바른 시간 값을 출력하는 것을 확인했다. 따라서 굳이 귀찮게 다른 사이트와 비교하는 등 하지 않고 그냥 기본 설정 그대로 클릭 몇번만 해서 시간을 변환하면 된다.
'Forensic > Theory' 카테고리의 다른 글
File System Tunneling (0) | 2015.09.23 |
---|---|
Web Forensic (0) | 2015.09.19 |
ADS (Alternate Data Stream) (0) | 2015.09.17 |
Steganography (0) | 2015.09.16 |
Icon Forensic ( ICON 분석) (2) | 2015.09.13 |