안녕하세요. Pernix입니다.
오늘 소개드릴 도구는 DCode 입니다.
파일시스템 공부나 각종 파일포맷 분석할 때 정말 유용하게 사용하는 시간정보 디코딩 도구입니다.
DCode는 다양한 포맷의 시간정보를 계산해주고 UTC 설정으로 분석 대상의 TimeZone을 적용할 수 있습니다.
UI도 직관적이어서 별다른 설명이 필요없을만큼 간단하고, 기능에 충실한 도구입니다. ^^
▣ DCode
- Manufacturer : Digital Detective (https://www.digital-detective.net)
- Download : DCode-v4.02a-build-4.02.0.9306.zip
DCode 사용법
▶ Add Bias : TimeZone 설정 기능 (대한민국은 UTC +09:00)
▶ Windows on top : 체크시 DCode가 다른창에 가려지지 않도록 항상 위로 고정
▶ Decode Format : 디코딩할 TimeStamp 유형
- Windows : 64 bit Hex Value - Little Endian
☞ NTFS MFT Entry의 생성ㆍ수정ㆍ접근ㆍMFT엔트리 수정시각
☞ Prefetch 마지막 실행시각
☞ EventLog(evtx) 생성시각
☞ Link 생성ㆍ접근ㆍ수정시각
☞ Registry 마지막 작성시각
☞ 휴지통(INFO2, $~) 파일 삭제시각
☞ IE(index.dat) 마지막 수정ㆍ마지막 접속 시각
- Windows : 64 bit Hex Value - Big Endian
- Windows : Cookie Date (Lo Value, Hi Value)
- Windows : Filetime [xxxxxx:xxxxxx] (※ 주의 : 중간에 :(콜론)으로 low 32bit와 high 32bit 구분)
- Windows : OLE (64 bit Double)
- Windows : 128 bit SYSTEM Structure
- Unix : 32bit Hex Value - Little Endian
☞ EXT Inode Table의 접근ㆍ변경ㆍ수정ㆍ아이노드 수정시각
☞ EventLog(evt)의 생성ㆍ작성 시각
- Unix : 32bit Hex Value - Big Endian
- Unix : Numeric Value
- Unix : Millisecond Value
- Google Chrome Value
☞ Chrome 히스토리 파일에 방문 시각
- MAC : Absolute Time
☞ iPhone 백업 파일 중 SQLite에 저장된 시각
☞ Safari 히스토리 파일에 마지막 방문 시각
- MS-DOS : 32 bit Hex Value
- MS-DOS : wFatDate wFatTime
- HFS : 32 bit Hex Value - Little Endian
- HFS : 32 bit Hex Value - Big Endian
- HFS+ : 32 bit Hex Value - Little Endian
- HFS+ : 32 bit Hex Value - Big Endian
☞ Catalog File의 생성ㆍ수정ㆍ접근ㆍAttribute수정시간
▶ Example : 유형별 인코딩 데이터를 입력하는 방법
MFT 엔트리의 시간정보(Create Time)를 입력해보겠습니다.
① Add Bias : UTC +9:00
② Decode Format : Windows : 64 bit Hex Value - Little Endian 로 선택
③ Value to Decode : AD5C70E68626CD01
④ Decode
'디지털 시간의 종류'와 '시간정보 분석'에 대한 자세한 정보는 아래 링크를 참고하세요!!
[Tech Report] ‘시간’을 분석하라, 시간이 ‘정보’다 (AhnLab)
'Tools & Sites > 도구 리뷰' 카테고리의 다른 글
| [Pcomodel] 파일 확장자별 삭제,복사,이동하는 도구 (0) | 2018.09.09 |
|---|
