[File System] FAT 파일시스템 (4)

안녕하세요. 도깬리 포렌식스입니다.

오늘은 FAT 파일시스템 4회차입니다. 삭제된 디렉토리에 대한 탐색과정과 FAT 파일시스템에서의 시간값 분석에 대해 알아보겠습니다.

 

파일 삭제

디렉토리 엔트리의 첫 바이트가 0xE5로 바뀝니다.

관련된 FAT엔트리의 값이 ‘0’으로 바뀝니다.

 

삭제된 디렉토리 탐색

비할당영역에서 ‘.’ 디렉토리 엔트리(시그너처 : 0x2e202020, 디렉토리 엔트리의 첫 4바이트)를 탐색하는 방법으로 찾습니다.

 

 

시간값 업데이트

3개의 시간 값(마지막 접근, 마지막 수정, 생성)은 부가적인 데이터이기에 잘못된 값을 가지고 있을 수 도 있습니다.

윈도우 동작에 따른 시간 값의 변경 패턴에 대한 참고자료 (Microsoft Knowledge Base Article 299648)

 

생성시각

새로운 파일을 생성하기 위해 새로운 디렉토리 엔트리를 할당할 때 기록됩니다.

파일명 변경, 다른 디렉토리/디스크로 이동하는 경우

생성시각은 바뀌지 않습니다.

예외) 명령줄에서 파일을 다른 볼륨으로 이동시킨 경우 : 생성시각이 바뀝니다. (이동하는 시각과 일치)

파일 복사하는 경우

생성시각이 바뀝니다. (복사되는 시각과 일치)

 

수정시각

윈도우가 파일에 새로운 내용을 쓸 때 기록됩니다.

파일명 변경, 속성 변경하는 경우

수정시각은 바뀌지 않습니다.

파일 이동, 복사하는 경우

수정시각은 바뀌지 않습니다.

 

마지막 접근날짜

가장 정확하고, 자주 바뀝니다.

다만 윈도우의 일부 버전은 이 날짜 값을 바뀌지 않도록 설정 가능합니다.

파일을 여는 경우

마지막 접근날짜가 바뀝니다.

파일에서 오른 마우스 클릭하여 속성을 보는 경우

마지막 접근날짜가 바뀝니다.

파일을 다른 볼륨으로 이동하는 경우

이동된 파일의 마지막 접근날짜가 바뀝니다.

파일을 같은 볼륨안에서 이동하는 경우

이동된 파일의 마지막 접근날짜가 바뀌지 않습니다. (이동된 파일이 원본과 같은 클러스터를 사용하기 때문)

파일을 복사하는 경우

원본, 복사본 모두 마지막 접근날짜가 바뀝니다.

 

파일 조작 패턴에 따른 시간 값의 변화

파일 이동

생성시각, 수정시각은 바뀌지 않습니다.

다만  다음의 경우 생성시각, 수정시각은 바뀝니다.

- 다른 볼륨으로 파일 이동

- 명령줄에서 파일을 이동

 

파일 복사

생성시각은 바뀝니다.

수정시각은 바뀌지 않습니다.

- 자연법칙 : 생성시각(2011. 1. 1.) --> 수정시각(2011. 1. 5.)

- 파일복사 : 생성시각(2011. 1. 5.) --> 수정시각(2011. 1. 1.)

1. 5.경 복사 행위가 있었던 것으로 추정 가능합니다.

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)