EnCase

[EnCase] 타임존 (Time Zone) 분석

도깬리 2022. 3. 17. 06:29

안녕하세요. 도깬리 포렌식스 입니다.

디지털 포렌식 분석을 시작하기 전에 살펴봐야할 설정 사항 중에 하나가 '타임존'입니다. 우리나라의 경우엔 단일 시간대를 갖고 있으므로 별 문제가 되지 않겠지만, 미국과 같이 한 나라에 여러 개의 시간대를 갖는 경우엔 반드시 '타임존'을 확인할 필요가 있겠지요. 이제 '타임존'에 대해 알아 볼까요?

 

타임존 (Time Zone) 개요

윈도우가 설치된 NTFS 저장매체에서는 날짜와 시간 정보가 UTC (Universal Time Coordinated) 형식으로 저장됩니다.

다만, FAT 시스템에서는 Local Time 으로 저장됩니다.

윈도우나 EnCase가 날짜와 시간 정보를 읽게 되면, 현재 컴퓨터에 설정된 또는 EnCase가 설정한 타임존을 기반으로 정보를 보여주게 됩니다.

만약 A 라는 타임존에서 컴퓨터를 획득한 후, B라는 타임존으로 보내어 분석을 하게 된다면 B 타임존의 분석관은 EnCase에서 타임존을 A 타임존으로 맞추어 분석해야 합니다.

 

 

Case에서 각각의 증거별로 서로 다른 타임존을 적용하여 분석 가능합니다.

물리적 장치와 논리적 볼륨 수준에서 모두 타임존을 변경할 수 있습니다.

EnCase에서 타임존을 설정하기만 하면 되고, 윈도우 에서는 설정할 필요가 없습니다.

만약, 증거이미지의 타임존과 분석관의 컴퓨터의 타임존이 일치할 경우에는 타임존을 수정할 필요가 없습니다.

 

 

분석 대상 증거 드라이브의 타임존 설정 확인 방법

System\ControlSet001\Control\TimeZoneInformation

ControlSetSelect 값을 보고 판단해야 합니다.

값이 1 이면 ControlSet001을 선택해야 합니다.

 

각 엔트리에 대한 설명

Bias

UTC와 몇 분 차이 나는지 확인합니다.

 

ActiveTimeBias

컴퓨터가 작동하고 있는 현재 시간 설정을 위한 UTC 시간과의 단위 오프셋 수를 의미합니다.

 

 

StandardBias

보통 0값입니다.

 

DaylightBias

일광절약 시간(Daylight Saving Time)입니다.

몇 분 +, - 차이 나는지 확인할 수 있습니다.

DST 설정을 위한 바이오스와의 단위 오프셋 수를 의미합니다.

32비트 정수로 저장됩니다.

Decode 탭에서 32-bit integer를 선택 -> Int32 (부호가 있는 정수 값)로 해석하면 됩니다.

참고 : UInt32는 부호가 없는 정수 값입니다.

 

 

DynamicDaylightTimeDisabled

일광절약시간이 매해 바뀌는 경우를 위한 기능입니다.

 

StandardName, DaylightName

타임존 이름을 확인합니다.

\Windows\system32\tzres.dll 내에 포함된 스트링 값을 읽어서 제공합니다.

 

TimeZoneKeyName

tzres.dll 내에 포함된 유니코드 스트링 값을 읽어서 제공합니다.

 

DaylightStart, StandardStart

일광절약시간 시작 시점을 확인합니다.

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)