파일을 다운받아 압축을 풀면 5개의 LNK파일들이 보인다.
복사되지 않은 대상의 크기를 찾는 문제다.
이 문제를 풀기 위해서는 MAC Time에 대해서 알고 있어야 한다.
MAC Time 개념
Modification Time (mtime)
파일의 내용이 마지막으로 수정 된 시간을 나타낸다.
대부분 파일 시스템에서 기존 데이터와 새롭게 기록된 데이터를비교를 하지 않기 때문에, 기존 데이터와 동일한 데이터를 넣어도
시간이 업데이트 됨.
Access Time (atime)
파일이 마지막으로 읽기 위해 열린 시각을 나타낸다.
실행중인 프로그램은 파일을 연상태로 있을수 있어서, 파일을 연 시간과 데이터가마지막으로 로드된 시간과는 다를 수 있다.
컴퓨터 구성에서 데이터를 기록하는것보다 읽는것이 더 빠르기 때문에 읽기 작업마다 엑세스 시간을 업데이트하는 것은
비효율 적이다. 그래서 엑세스 시간을 업데이트 활성화, 비활성화 선택할수 있는 레지스트리 키도 있고 XP 이후 버전에는
엑세스 시간을 업데이트 비활성화하는게 기본값으로 되어있다.
Creation Time (ctime)
생성 시간은 파일의 생성 시간을 의미합니다.
참조
https://en.wikipedia.org/wiki/MAC_times
http://forensicswiki.org/wiki/MAC_times
상태 |
수정한 시간(mtime) |
엑세스한 시간(atime) |
만든 시간(ctime) |
파일 이름 변경 |
보존 |
보존 |
보존 |
폴더간 파일을 이동 |
보존 |
보존 |
보존 |
디스크 또는 파티션간 파일을 이동 |
보존 |
이동 시간으로 바뀜 |
보존 |
파일 복사 |
보존 |
복사된 시간으로 바뀜 |
복사된 시간으로 바뀜 |
새 파일을 쓸 때 |
만든 시간 |
만든 시간 |
만든 시간 |
기존 파일 수정할 때 |
수정된 시간 |
보존 |
보존 |
기존 파일에 엑세스 할 때 |
보존 |
사용하도록 설정된 경우 1시간 이내에 업데이트 되고 아닐 경우에는 프리 보존 |
보존 |
엑세스 시간 업데이트는 Windows에서 레지스트리 키로 설정 할수 있다.
경로
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate
Windows xp 이전
값이 1 이면 사용안함
값이 0 이면 사용함 (기본값)
Windows xp 이후
값이 1 이면 사용안함 (기본값)
값이 0 이면 사용함
문제를 풀기위해서 찾아야되는값은 엑세스한 시간이랑 만든시간이 다른 걸 찾으면 되겠다.
4.lnk 파일
ctime < mtime <atime
5.lnk 파일
mtime < ctime < atime
(write time 이랑 Modification time이랑 같다고 생각해도 된다.)
4.lnk 파일의 경우는
C < M < A
파일을 수정하고 엑세스 할 경우
파일이 복사되고 수정을 하고 파일을 엑세스 할 경우
5.lnk 파일의 경우는
M < C < A
파일이 복사되고 파일을 엑세스 할 경우
이렇게 될꺼같은데 5.lnk 파일이 경우가 한가지 뿐이라서 문제의 답은 4.lnk 파일에서 찾았다.
Answer : 248435
'WarGame > Forensic' 카테고리의 다른 글
| [Crescendo] Memory Problem 01 (0) | 2017.06.13 |
|---|---|
| [Crescendo] Shim Cache Problem 01 (0) | 2017.06.12 |
| [Crescendo] LNK Problem 04 (0) | 2017.06.11 |
| [Crescendo] LNK Problem 03 (0) | 2017.06.11 |
| [Crescendo] LNK Problem 02 (0) | 2017.06.11 |
