earticle

영어

In digital forensic analysis, maintaining the integrity of digital evidence against anti-forensic techniques is crucial. If timestamps are tampered with, the reliability of the evidence diminishes, complicating the construction of an accurate incident timeline. This paper proposes an effective technique to detect timestamp manipulation by collecting and analyzing log data in cases of suspected tampering in Linux and Android systems. Additionally, we present a new method to verify timestamp manipulation at reboot, identifying tampering times for each operating system. Experiments on Ubuntu and CentOS Linux desktops, as well as Android 9 and 14 phones, demonstrate the technique's validity. This proposed method enhances responses to timestamp manipulation across various OSes, improving the accuracy and reliability of digital evidence.

한국어

디지털 포렌식 분석에서 안티-포렌식 기법에 대응해 디지털 증거의 무결성을 유지하는 것이 중요하다. 타임스탬프 가 변조되면 증거 신뢰성이 저하되고 사건 타임라인 구성이 어려워진다. 본 논문은 리눅스와 안드로이드 시스템에서 타임스탬프 변조가 의심될 때 로그 데이터를 수집·분석해 이를 탐지하는 효과적인 기법을 제안한다. 재부팅 시점에 서 타임스탬프 변조 여부를 확인하는 새로운 방법도 제시하여 각 운영체제별 타임스탬프 조작 시점을 효과적으로 파 악한다. Ubuntu와 CentOS 리눅스, 안드로이드 9와 14를 대상으로 실험하여 제안 기법의 유효성을 검증하였다. 본 기법은 여러 운영체제에서 발생할 수 있는 타임스탬프 조작 공격에 대응하고 디지털 증거의 정확성과 신뢰성을 높이는 데 기여할 수 있다.