:: The Journal of the Institute of Internet, Broadcasting and Communication ::, Vol.17 No.2 | (2017) pp.7~13
이벤트 재구성을 위한 타임스탬프 갱신 임계치
Abstract
용의자가 어떤 행위를 했는지 특정하기 위한 경우와 같이 디지털 조사에서 특정한 행위나 이벤트의 발생시간 을 확인하기 위해 타임스팸프에 의존하는 시스템이 많다. 하지만 객체의 갱신은 실제 이벤트의 발생시점보다 약간의 시간차를 두고 이루어지게 된다. 이 논문에서는 타임스탬프와 관련된 객체를 가진 디지털시스템의 간단한 모델을 정의 한다. 이 모델은 타임스탬프와 관련된 객체의 갱신 패턴을 예측하는데 사용되며 갱신 시간차 범위에 대한 예측을 가능 하게 한다. 경험적 연구를 통해 타임스탬프 갱신패턴이 동시적이지 않다는 것을 보이고 특정한 시스템에서 보다 정확 한 행위시점을 결정하기 위한 타임스탬프 갱신 분포를 계산하는 방법을 제시한다.
Many systems rely on reliable timestamps to determine the time of a particular action or event. This is especially true in digital investigations where investigators are attempting to determine when a suspect actually committed an action. The challenge, however, is that objects are not updated at the exact moment that an event occurs, but within some time-span after the actual event. In this work we define a simple model of digital systems with objects that have associated timestamps. The model is used to predict object update patterns for objects with associated timestamps, and make predictions about these update time-spans. Through empirical studies of digital systems, we show that timestamp update patterns are not instantaneous. We then provide a method for calculating the distribution of timestamp updates on a particular system to determine more accurate action instance times.
Digital Forensics,Time Stamp Update Patterns,Action Instances,Event Reconstruction,File System Analysis
