시간변경 이벤트로그 흔적

윈도우 OS 상에서 시간을 변경하는 방법은 작업표시줄 시간 클릭해서 변경하거나 Date명령어를 사용하면 된다.

이런 방식으로 의도적으로 시간 변경을 한 사실을 조사하는 방법은

1. 폴더들의 시간정보로 유추

2. 이벤트 로그 

크게 두 개가 되겠다.

이벤트 로그는 확실한 방법이지만 설정에 따라 남아있지 않을 수도 있고, 이벤트 로그 최대 크기가 제한되어 있으므로 이전의 데이터가 남아있지 않는 경우도 있다. 

어찌됐든, 이벤트 뷰어를 실행한 후 (eventvwr.msc) 

security log 

- XP 이하 : 520번

- Vista 후 : 4616번

에 남는다. 

system log에도 남는데, VISTA 이 후에는 6013번으로 확인할 수 있었다. 

반면 XP에서는 정확한 이벤트 ID를 특정짓지는 못했으나 로그 순서로 충분히 유추할 수 있다.

VISTA 이후에는 DateTimeControlPanel log에도 관련 흔적이 남아있다.