728x90
change
-
침해 사고대응 : MAC Time 분석공부합시다!/포렌식 2022. 2. 17. 17:13
침해사고분석에 있어서 MAC Time 갖는 의미는 대단히 중요합니다. 공격자의 행동유형을 시간대별로 재구성할 수 있기 때문입니다. 이를 Timeline 이라고도 합니다. 그럼 MAC Time은 무엇일까요? M : Modify - 파일 및 디렉토리 내용 수정 A : Access - 파일 및 디렉토리 접근 시간 (내용을 확인하려면 최소한 접근은 해야겠죠! 읽기 R) C : Change - 파일 및 디렉토리 권한 변경 을 의미합니다. 주의할 점은 Linux에서 파일 및 디렉토리의 속성 정보에 있는 시간은 마지막으로 수정한 시간입니다. 더불어 파일의 내용을 수정하면 Modify와 Change 시간이 동시에 변한다는 점입니다. 위에 설명드린 모든 사항을 stat와 cat, change 명령어를 통해서 실습해 보도..