타임스탬프 해석
거의 모든 아티팩트에는 일종의 타임스탬프가 있습니다. 아래에는 가장 일반적인 타임스탬프가 나열되어 있습니다.
| 타임스탬프 | 값 |
|---|---|
| 생성 시간 | 파일 데이터가 생성된 시간입니다. |
| 수정 시간 | 파일 데이터가 마지막으로 수정된 시간입니다. |
| 액세스 시간 | 파일을 마지막으로 읽은 시간입니다. |
| 상태 변경됨 | 예를 들어 권한 변경에 의해 파일의 메타 데이터가 마지막으로 변경된 시간입니다. |
참고: 아티팩트의 타임스탬프가 어디에서 시작되었는지 확인하십시오. 타임스탬프는 네트워크 경로를 따라 다양한 장소에서 생성될 수 있습니다. 조사관은 항상 분석된 시간 데이터를 검증해야 합니다.
추출된 타임스탬프가 시작된 위치를 조사하는 데 도움이 되도록 타임스탬프 뒤에 괄호 안에 소스 정보가 추가됩니다.
- (Device)로 표시된 타임스탬프는 장치의 시스템 시계를 기반으로 생성되었으며 장치에서 수행된 시간 설정(날짜, 시간 및 시간대)의 영향을 받습니다. 이는 휴대폰 소유자가 타임스탬프를 조작했을 수 있음을 의미합니다.
- (Network)로 표시된 타임스탬프는 휴대폰이 연결된 모바일 네트워크 또는 인터넷에서 왔습니다.
- (Other client)로 표시된 타임스탬프는 다른 장치에서 왔습니다. 소스는 다른 휴대폰, 태블릿, 컴퓨터 또는 다른 것일 수 있습니다. 이는 타임스탬프가 알 수 없는 소스에서 올 수 있으며 조작되었을 가능성이 있음을 의미합니다.
- 위의 괄호가 없는 타임스탬프는 알 수 없는 소스에서 온 것입니다.
타임스탬프 설정 방법
데이터 소스에서 디코딩된 데이터를 해석하는 방법을 알기 위해서는 XAMN이 다양한 컨텍스트에서 타임스탬프를 설정하는 방법을 알아야 합니다.
로컬에 저장할 파일 내보내기
로컬 컴퓨터에 저장하기 위해 하나 이상의 파일을 내보낼 때는 다음 사항이 적용됩니다.
- 생성됨, 액세스됨, 수정됨 타임스탬프의 경우 UTC 날짜 시간이 설정됩니다.
- 생성됨, 액세스됨 또는 수정됨이 누락된 경우:
- 날짜와 시간이 1970-01-01 00:00:00로 설정됩니다.
파일을 .zip 파일로 내보내기
.zip 파일로 저장하기 위해 하나 이상의 파일을 내보낼 때는 다음 사항이 적용됩니다.
- 생성됨, 액세스됨, 수정됨 타임스탬프의 경우 UTC 날짜 시간이 설정됩니다.
- 생성됨, 액세스됨 또는 수정됨이 누락된 경우:
- 날짜가 설정되지 않습니다.
파일에 UTC 오프셋을 사용할 수 없는 경우
특정 파일 또는 아티팩트에 대한 원본 장치 추출에서 UTC 오프셋을 사용할 수 없는 경우 다음 사항이 적용됩니다.
- 모든 타임스탬프가 UTC로 가정됩니다.
보기 시간대 선택
XAMN에서 아티팩트 타임스탬프를 모든 시간대에 맞게 조정할 수 있습니다. 추출된 시간 데이터를 UTC가 아닌 다른 시간대(예: 현지 시간)에서 보는 것이 더 편리한 경우가 많습니다.
타임스탬프를 다른 시간대로 조정하는 것은 비파괴적이며 데이터 표시에만 영향을 미칩니다. 언제든지 돌아가서 원래 값을 표시할 수 있습니다.
시간대 선택 활성화
-
타임스탬프 조정을 활성화하려면 옵션을 클릭하고 일반 페이지를 선택한 다음 현지 시간으로 표시 확인란을 선택합니다.
조정된 타임스탬프의 시간대 설정
- 리본 메뉴의 시간대 그룹에서 드롭다운 화살표를 클릭한 다음 시간대를 선택합니다.
- XAMN 내에서 타임스탬프를 표시할 때는 선택한 시간대가 적용됩니다.
- 이는 UTC 오프셋 정보가 있는 타임스탬프에는 적용되지만, UTC 오프셋 정보가 없는 타임스탬프에는 영향을 미치지 않습니다.
- 또한 선택한 시간대에 해당하는 경우 일광 절약 시간제의 시간이 적용됩니다.
- 파일을 내보낼 때는 선택한 시간대가 적용되지 않습니다.
- XAMN 내에서 타임스탬프를 표시할 때는 선택한 시간대가 적용됩니다.
-
UTC 형식의 타임스탬프만 조정할 수 있습니다.
- 타임스탬프 조정이 활성화되면(즉, 현지 시간으로 표시가 선택됨) Extended XML 파일을 제외한 모든 보고서와 내보낸 파일에 선택한 시간대에 맞게 조정된 타임스탬프가 포함됩니다. Extended XML 파일에는 UTC 타임스탬프와 조정된 타임스탬프가 모두 포함됩니다.
- 타임스탬프 조정이 비활성화되어 있어도(즉, 현지 시간으로 표시가 선택되지 않음) 시간 필터는 조정된 시간대별로 아티팩트를 찾습니다.
세부 정보 창
현지 시간으로 표시를 선택하면 UTC 타임스탬프와 조정된 타임스탬프가 모두 표시됩니다. 현지 시간으로 표시를 선택 취소하면 UTC 타임스탬프만 표시됩니다.
아티팩트 창
목록 보기에는 타임스탬프가 하나만 표시됩니다. 현지 시간으로 표시를 선택하면 타임스탬프가 선택한 시간대에 맞게 조정됩니다. 현지 시간으로 표시를 선택 취소하면 UTC 타임스탬프가 표시됩니다.
열 보기에서 조정된 타임스탬프는 "UTC+hh:mm"으로 표시됩니다. 아래 예에서, 이는 타임스탬프가 UTC 시간으로부터 2시간 후인 시간대로 조정되었음을 의미합니다.
| 열 보기의 타임스탬프 |  |
| 세부 정보 창의 동일한 타임스탬프: |  |
일광 절약 시간제
일광 절약 시간제(DST)는 UTC 타임스탬프에 영향을 미치지 않지만 조정된 타임스탬프에는 항상 자동으로 포함됩니다. 예를 들어, 현지 시간대 관할 구역에 일광 절약 시간제가 포함된 경우, 현지 이벤트 시간은 여름에는 UTC+4시간, 겨울에는 UTC+3시간으로 표시됩니다.