파일 조작에 따른 파일 시간 변화 분석

디지털 포렌식 수사에 있어 시간 정보는 중요한 요소이다. 윈도우즈의 NTFS(New Technology File System) 환경에서 획득할 수 있는 파일의 시간 정보는 생성, 수정, 접근, MFT entry 수정 시간이며 이는 파일의 복사나 이동, 이름 변경 등의 사용자의 행위에 따라 특징적으로 변경된다. 이러한 시간 변경 특징은 사용자의 데이터 이동 및 데이터 변경 등의 행위 분석에 활용할 수 있다. 본 논문에서는 윈도우즈 운영체제 별로 사용자의 행위에 따른 파일이나 폴더의 시간 변화를 분석하여 이를 바탕으로 시스템 분석시 사용자의 행위를 유추할 수 있도록 한다.