윈도우 OS 상에서 시간을 변경하는 방법은 작업표시줄 시간 클릭해서 변경하거나 Date명령어를 사용하면 된다.
이런 방식으로 의도적으로 시간 변경을 한 사실을 조사하는 방법은
1. 폴더들의 시간정보로 유추
2. 이벤트 로그
크게 두 개가 되겠다.
이벤트 로그는 확실한 방법이지만 설정에 따라 남아있지 않을 수도 있고, 이벤트 로그 최대 크기가 제한되어 있으므로 이전의 데이터가 남아있지 않는 경우도 있다.
어찌됐든, 이벤트 뷰어를 실행한 후 (eventvwr.msc)
security log
- XP 이하 : 520번
- Vista 후 : 4616번
에 남는다.
system log에도 남는데, VISTA 이 후에는 6013번으로 확인할 수 있었다.
반면 XP에서는 정확한 이벤트 ID를 특정짓지는 못했으나 로그 순서로 충분히 유추할 수 있다.
VISTA 이후에는 DateTimeControlPanel log에도 관련 흔적이 남아있다.