지난 번에 이어 Windows 운영체제 사용 후 포렌식적으로 의미가 있는 증거(Forensically Sound Evidence)를 살펴보자.
Special Files
Link Files (Shortcuts, 바로가기)
바로가기 파일이란 특정 대상을 참조하는 파일이다. 대상은 응용프로그램(Application), 디렉토리, 파일, 문서 뿐 아니라 프린터나 관리 콘솔(Management Console) 등 무엇이든 될 수 있다. 바로가기 파일을 클릭하면 등록된 응용프로그램으로 문서를 열수도 있고 실행할 수도 있다. Forensic에서 바로가기 파일의 중요성은 속성, 내용, 그리고 생성시점에 대한 특성 등에 있다.
바로가기파일은 다양한 목적에 의해 생성된다. 새로 응용프로그램을 설치했을 경우나 Windows에서 Desktop 바로가기나 휴지통 아이콘, 시작메뉴(Start Menu), 빠른실행(Quick Launch) 등에서 사용되며 사용자가 무의식 중에 오픈한 문서나 응용프로그램 등도 최근실행목록(Recent Folder) 등에 등록된다. 또한 사용자가 직접 빈번한 접근을 위해 프로그램, 파일, 폴더, 네트워크 리소스, 프린터 등에도 바로가기를 생성하게 쉽게 사용할 수 있다.
바로가기파일은 대상에 대한 다양한 속성을 가지고 있다. MAC(수정,접근,생성)시간이 Created, Last Accessed, Last Written 순으로 28,36,44 FO(File Offset)에 존재한다. (아래 그림에서 볼록지정된 곳을 보면 된다.) 이 속성은 사용자가 신경쓰지 않아도 자동으로 업데이트된다. 또한 볼륨 시리얼(unique volume serial numner), 파일의 크기(Size), 대상 위치 (Location) 등도 저장된다. 그리고 Link File은 파일 헤더에 \x4C\x00\x00\x00\x01\x14\x02 값이 File Signature로 사용된다.
Temporary Internet Files (임시 인터넷 파일)
이전 버전의 Windows에서 임시 인터넷 파일(TIF)는 Local Settings 폴더에 저장되었으나 Vista에서는 C:\Users\%UserName%\AppData\Local\Microsoft\Windows\Temporary Internet Files\에 저장된다. 인터넷에서 다운로드받은 파일들이 cache 형태로 저장되어 있어 이후에 접속할 때는 다시 다운로드받는 것이 아니라 cache에서 참조하여 빠른 속도로 Browsing을 가능하게 한다. Cookie 폴더나 History 폴더와 마찬가지로 Content.IE5 폴더에도 index.dat 파일이 존재한다. 저장되는 파일명을 자세히 살펴보면 원본파일명에 [1][2]...이 붙어 저장되는 것을 볼 수 있는데 index.dat가 파일명을 추적하기 위해서이다. 폴더명은 random한 숫자/영문자 8개로 구성되며 보통 15개에서 20개 정도 생성되는 것이 전형적이다.
Swap File (스왑 파일)
Windows에서는 RAM이 제한적인 자원이므로 RAM 용량이 부족할 때를 대비하여 HDD를 RAM 용도로 사용하는데 이를 paging이라고 한다. Windows에서는 page file (또는swap file)을 pagefile.sys에 저장하고 있다. 또한 Registry에서 종료시 이 파일을 삭제하는 옵션을 제공하는데, 다음 위치의 키를 참조한다. [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 내 ClearPageFileAtShutdown값이 1로 지정] 시스템을 조사할 시 Hard Disk에서 한번도 저장되지 않고 RAM에만 남아있는 파일을 찾거나 암호화된 파일 중 일부 비암호화된 문자 조각(text fragment)이 존재할 수도 있으므로 swap 파일을 늘 조사할 필요가 있다. 특히 RAM상에서는 Unicode로 존재하는 경우가 일반적이기 때문에 page file에서 검색시 Unicode Option을 활성화하는 것이 좋다.
Hibernation File (하이버네이션 파일)
Windows에서는 hibernate를 옵션으로 제공하는데 시스템을 잠시 종료한 후 RAM의 내용을 file로 썼다가 다시 돌아오면 원래의 상태로 복구하는 기능이다. 이는 hiberfil.sys로 저장되며 시스템 드라이브의 루트에 존재한다. 시스템이 2GB RAM을 사용하고 있다면 보통 swap file의 경우 3GB로 설정되나 hibernation file의 경우 정확히 2GB로 RAM size와 일치한다. 만일 컴퓨터가 한번도 hibernation mode로 진입한 적이 없는 경우에는 이 파일은 모두 00h로 쓰여있을 것이다.
Special Directories
Installation System Folders (시스템이 설치되는 기본폴더)
Windows 시스템이 기본적으로 설치되는 폴더는 아래와 같으며 업그레이드를 했을 경우에는 해당하지 않는다.
Recent Folder (최근 폴더)
최근 폴더 내의 파일은 모두 바로가기 파일로 구성되어 있다. 이는 시작->내 최근 문서보기에서 15개까지 볼 수 있으며 폴더 내에서는 수백개를 저장하고 있다. 내 최근문서로 표기되며 XP에서는 C:\Documents and Settings\%UserName%\Recent 내에 위치하고, Vista의 경우 C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Recent 내에 위치한다. 만일 같은 문서가 같은 위치에서 다시 오픈되었을 경우 바로가기 파일이 업데이트된다.
바로가기파일은 RAM에 있거나 pagefile.sys로 swap out되어 있을 가능성이 크다. Swap 파일 내 존재할 경우 unallocated 공간에 저장되는데 하드디스크가 포맷되어 포인터를 잃게 될지라도 데이터가 덮어쓰여지지 않았다면 그대로 있다.
Desktop Folder (바탕화면 폴더)
바탕화면 폴더 또한 루트 사용사 폴더 아래에 위치하며 전형적으로 바로가기로 되어 있다. Windows XP이하 버전에서는 All Users라고 되어 있는 폴더 내 Desktop 폴더 파일은 모든 사용자에게 보여줬으나 Vista의 경우 Public으로 바뀌었다. 도메인을 사용하는 환경이라면 그룹정책(Group Policy)에 의해 개별 사용자나 특정 사용자 그룹에 특화된 바탕화면을 구성할 수 있다.
My Documents/Documents (내 문서)
기존 Windows 버전에서는 내 문서로 표기되었으나 Vista에서는 그냥 문서라고 명명되었다. 내 문서 하위 디렉토리로 있던 내 그림(My Picture)은 그림(Picture)으로 내 음악(My Music)은 음악(Music)으로 역시 변경되었다. 이 폴더는 개별 사용자들의 문서, 그림, 음악 등을 기본적으로 저장하는 공간으로 생성되었다.
Send To Folder (바로가기 폴더)
바로가기 폴더는 탐색기 인터페이스에서 오른쪽 마우스 버튼을 클릭 후 Sent To를 설정했을 때 나타나는 object나 link이다. 다양한 프로그램이 설치될 때 기본적으로 나타난다. 사용자가 수동적으로 추가하는 경우도 있지만 드물다.
Temp Folder (임시 폴더)
이전 버전의 Windows에서 임시 폴더는 Local Setting Folder 내에 있고 Vista의 경우 Users\%UserName%\AppData\Local\Temp로 변경되었다. 프로그램 실행시 열어둔 문서의 복사본을 저장하거나 확장자를 변경하여 넣어두기도 하므로 이 곳은 File Signature 분석에 좋은 장소라고 할 수 있다. 어떤 프로그램은 실행 후 삭제하기도 하지만 그냥 남겨둘 때도 있다. 사용자가 특정 application을 설치하지 않았다고 발뺌할 경우 이 곳에서 증거를 수집할 수도 있다.
Favorites Folder (즐겨찾기 폴더)
즐겨찾기 폴더는 MS Internet Explorer Browser가 사용하는 바로가기 파일을 모아둔 곳이다. 확장자는 *.url(Uniform Resource Locator)로 등록되며 특정한 헤더를 가지는데 [InternetShortcut]으로 시작한다. Windows 설치시 기본으로 로드되는 즐겨찾기 사이트는 다소 다른데 이를 알아두면 사용자가 즐겨찾기를 추가/이동/삭제했는지 판단하는데 도움이 된다. 악성코드는 사용자 모르게 이 곳에 등록하는 경우도 있는데 그럴 경우 생성시간이 1~2 초 내에 여러 개의 즐겨찾기가 등록된 것이라면 사용자가 수동으로 등록한 것이 아니라고 보면 된다.
Cookies Folder (쿠키 폴더)
이전 버전의 Windows에서 Cookie는 루트 사용자 폴더에 저장되었으나 Vista에서는 \Users\%UserName%\AppData\Roaming\Microsoft\Windows\Cookies에서 찾아볼 수 있다. 쿠키는 웹사이트에서 사용자의 Local Computer에 생성한 코드 조각인데 원래 사용자가 웹브라우징을 향상시키기 위한 목적으로 만들어졌으나 실제 그 내용이나 목적은 알 수 없다. 보통 username@domainname.txt 형태로 되어 있고 전체 쿠키 모음이 index.dat파일에서 관리된다. 이 파일은 날짜와 내부 날짜(internal date)를 담고 있는데 내부 날자란 웹사이트가 최종 수정된 때와 폐기날짜를 지정하고 있다.
History Folder (히스토리 폴더)
이전 버전의 Windows에서 History 폴더는 Local Settings 내에 있었으나 Vista에서는 \Users\%UserName%\AppData\Local\Microsoft\Windows\History에서 찾아볼 수 있다. 이 폴더 내에서 History.IE5와 Low\History.IE5를 찾아볼 수 있고 모든 히스토리를 관장하는 index.dat DB 파일이 있다. 기본 저장기간은 20일이며 폴더명은 MSHist01DateRange 로 되어 있다. (날짜범위 DateRange 형식은 YEARMODAYEARMODA임)
Internet History를 조사할 때 알아두어야 할 것이 있다. URL이 file:/// 로 시작되는 것들이 있는데 이는 실제 IE에서 열어본 것이라고 생각하기 쉬우나 실은 그렇지 않다. 로컬 파일을 특정 application으로 열었다고 할지라도 이 곳에 등록된다. MS Office 문서를 비롯한 다른 종류의 파일들도 마찬가지다.
Special Files
Link Files (Shortcuts, 바로가기)
바로가기 파일이란 특정 대상을 참조하는 파일이다. 대상은 응용프로그램(Application), 디렉토리, 파일, 문서 뿐 아니라 프린터나 관리 콘솔(Management Console) 등 무엇이든 될 수 있다. 바로가기 파일을 클릭하면 등록된 응용프로그램으로 문서를 열수도 있고 실행할 수도 있다. Forensic에서 바로가기 파일의 중요성은 속성, 내용, 그리고 생성시점에 대한 특성 등에 있다.
바로가기파일은 다양한 목적에 의해 생성된다. 새로 응용프로그램을 설치했을 경우나 Windows에서 Desktop 바로가기나 휴지통 아이콘, 시작메뉴(Start Menu), 빠른실행(Quick Launch) 등에서 사용되며 사용자가 무의식 중에 오픈한 문서나 응용프로그램 등도 최근실행목록(Recent Folder) 등에 등록된다. 또한 사용자가 직접 빈번한 접근을 위해 프로그램, 파일, 폴더, 네트워크 리소스, 프린터 등에도 바로가기를 생성하게 쉽게 사용할 수 있다.
바로가기파일은 대상에 대한 다양한 속성을 가지고 있다. MAC(수정,접근,생성)시간이 Created, Last Accessed, Last Written 순으로 28,36,44 FO(File Offset)에 존재한다. (아래 그림에서 볼록지정된 곳을 보면 된다.) 이 속성은 사용자가 신경쓰지 않아도 자동으로 업데이트된다. 또한 볼륨 시리얼(unique volume serial numner), 파일의 크기(Size), 대상 위치 (Location) 등도 저장된다. 그리고 Link File은 파일 헤더에 \x4C\x00\x00\x00\x01\x14\x02 값이 File Signature로 사용된다.
 |
[주의] Windows Vista의 경우 Last Accessed Time에 대한 Timestamp를 조사할 경우 주의해야 한다. Vista에서는 기본설정으로 비활성화되어 추적할 수 없도록 되어 있기 때문이다. 그렇다고 실제 $MFT에 값이 존재하지 않는 것은 아니다. 이 공간에는 기본적으로 파일 생성시간(File Creation Date and Time)이 저장되어 있으며 바로가기 파일 역시 마찬가지이다. MS에서는 시스템 성능 향상을 목적으로 이렇게 설계했다고 하며 이를 활성화시키기 위해서는 다음 레지스트리 키를 0으로 변경하면 된다. -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
Temporary Internet Files (임시 인터넷 파일)
이전 버전의 Windows에서 임시 인터넷 파일(TIF)는 Local Settings 폴더에 저장되었으나 Vista에서는 C:\Users\%UserName%\AppData\Local\Microsoft\Windows\Temporary Internet Files\에 저장된다. 인터넷에서 다운로드받은 파일들이 cache 형태로 저장되어 있어 이후에 접속할 때는 다시 다운로드받는 것이 아니라 cache에서 참조하여 빠른 속도로 Browsing을 가능하게 한다. Cookie 폴더나 History 폴더와 마찬가지로 Content.IE5 폴더에도 index.dat 파일이 존재한다. 저장되는 파일명을 자세히 살펴보면 원본파일명에 [1][2]...이 붙어 저장되는 것을 볼 수 있는데 index.dat가 파일명을 추적하기 위해서이다. 폴더명은 random한 숫자/영문자 8개로 구성되며 보통 15개에서 20개 정도 생성되는 것이 전형적이다.
Swap File (스왑 파일)
Windows에서는 RAM이 제한적인 자원이므로 RAM 용량이 부족할 때를 대비하여 HDD를 RAM 용도로 사용하는데 이를 paging이라고 한다. Windows에서는 page file (또는swap file)을 pagefile.sys에 저장하고 있다. 또한 Registry에서 종료시 이 파일을 삭제하는 옵션을 제공하는데, 다음 위치의 키를 참조한다. [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 내 ClearPageFileAtShutdown값이 1로 지정] 시스템을 조사할 시 Hard Disk에서 한번도 저장되지 않고 RAM에만 남아있는 파일을 찾거나 암호화된 파일 중 일부 비암호화된 문자 조각(text fragment)이 존재할 수도 있으므로 swap 파일을 늘 조사할 필요가 있다. 특히 RAM상에서는 Unicode로 존재하는 경우가 일반적이기 때문에 page file에서 검색시 Unicode Option을 활성화하는 것이 좋다.
Hibernation File (하이버네이션 파일)
Windows에서는 hibernate를 옵션으로 제공하는데 시스템을 잠시 종료한 후 RAM의 내용을 file로 썼다가 다시 돌아오면 원래의 상태로 복구하는 기능이다. 이는 hiberfil.sys로 저장되며 시스템 드라이브의 루트에 존재한다. 시스템이 2GB RAM을 사용하고 있다면 보통 swap file의 경우 3GB로 설정되나 hibernation file의 경우 정확히 2GB로 RAM size와 일치한다. 만일 컴퓨터가 한번도 hibernation mode로 진입한 적이 없는 경우에는 이 파일은 모두 00h로 쓰여있을 것이다.
Special Directories
Installation System Folders (시스템이 설치되는 기본폴더)
Windows 시스템이 기본적으로 설치되는 폴더는 아래와 같으며 업그레이드를 했을 경우에는 해당하지 않는다.
 |
Windows Vista의 경우 여러 폴더가 변경되고 재명명(renamed)되었는데 기존에 사용하던 폴더를 가리키기 위한
reparse point가 존재한다. 이 폴더를 가리키는 reparse point는 갈림점(junction)이라고 불리기도 한다. Vista에서 Document and Settings를 클릭하면 아마 "Access Denied" 메시지를 만날 수 있을 것이다. 내부에는 바로가기(Symbolic Link)가 있으며 %SYSTEM%Users에 해당 내용이 모두 옮겨졌을 것이다. Forensic 관점에서는 사용자마다 다른 공간으로 나뉘어(compartmentalized) 각기 증거가 뚜렷이 남으므로 오히려 이것이 훨씬 편하다. 처음으로 사용자가 로그인했을 때 Users 아래 Login name으로 명명되고 이는 NTUSER.DAT을 생성(이 파일은 사용자의 레지스트리 hive임)시킨다.
reparse point가 존재한다. 이 폴더를 가리키는 reparse point는 갈림점(junction)이라고 불리기도 한다. Vista에서 Document and Settings를 클릭하면 아마 "Access Denied" 메시지를 만날 수 있을 것이다. 내부에는 바로가기(Symbolic Link)가 있으며 %SYSTEM%Users에 해당 내용이 모두 옮겨졌을 것이다. Forensic 관점에서는 사용자마다 다른 공간으로 나뉘어(compartmentalized) 각기 증거가 뚜렷이 남으므로 오히려 이것이 훨씬 편하다. 처음으로 사용자가 로그인했을 때 Users 아래 Login name으로 명명되고 이는 NTUSER.DAT을 생성(이 파일은 사용자의 레지스트리 hive임)시킨다.
Recent Folder (최근 폴더)
최근 폴더 내의 파일은 모두 바로가기 파일로 구성되어 있다. 이는 시작->내 최근 문서보기에서 15개까지 볼 수 있으며 폴더 내에서는 수백개를 저장하고 있다. 내 최근문서로 표기되며 XP에서는 C:\Documents and Settings\%UserName%\Recent 내에 위치하고, Vista의 경우 C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Recent 내에 위치한다. 만일 같은 문서가 같은 위치에서 다시 오픈되었을 경우 바로가기 파일이 업데이트된다.
바로가기파일은 RAM에 있거나 pagefile.sys로 swap out되어 있을 가능성이 크다. Swap 파일 내 존재할 경우 unallocated 공간에 저장되는데 하드디스크가 포맷되어 포인터를 잃게 될지라도 데이터가 덮어쓰여지지 않았다면 그대로 있다.
Desktop Folder (바탕화면 폴더)
바탕화면 폴더 또한 루트 사용사 폴더 아래에 위치하며 전형적으로 바로가기로 되어 있다. Windows XP이하 버전에서는 All Users라고 되어 있는 폴더 내 Desktop 폴더 파일은 모든 사용자에게 보여줬으나 Vista의 경우 Public으로 바뀌었다. 도메인을 사용하는 환경이라면 그룹정책(Group Policy)에 의해 개별 사용자나 특정 사용자 그룹에 특화된 바탕화면을 구성할 수 있다.
My Documents/Documents (내 문서)
기존 Windows 버전에서는 내 문서로 표기되었으나 Vista에서는 그냥 문서라고 명명되었다. 내 문서 하위 디렉토리로 있던 내 그림(My Picture)은 그림(Picture)으로 내 음악(My Music)은 음악(Music)으로 역시 변경되었다. 이 폴더는 개별 사용자들의 문서, 그림, 음악 등을 기본적으로 저장하는 공간으로 생성되었다.
Send To Folder (바로가기 폴더)
바로가기 폴더는 탐색기 인터페이스에서 오른쪽 마우스 버튼을 클릭 후 Sent To를 설정했을 때 나타나는 object나 link이다. 다양한 프로그램이 설치될 때 기본적으로 나타난다. 사용자가 수동적으로 추가하는 경우도 있지만 드물다.
Temp Folder (임시 폴더)
이전 버전의 Windows에서 임시 폴더는 Local Setting Folder 내에 있고 Vista의 경우 Users\%UserName%\AppData\Local\Temp로 변경되었다. 프로그램 실행시 열어둔 문서의 복사본을 저장하거나 확장자를 변경하여 넣어두기도 하므로 이 곳은 File Signature 분석에 좋은 장소라고 할 수 있다. 어떤 프로그램은 실행 후 삭제하기도 하지만 그냥 남겨둘 때도 있다. 사용자가 특정 application을 설치하지 않았다고 발뺌할 경우 이 곳에서 증거를 수집할 수도 있다.
Favorites Folder (즐겨찾기 폴더)
즐겨찾기 폴더는 MS Internet Explorer Browser가 사용하는 바로가기 파일을 모아둔 곳이다. 확장자는 *.url(Uniform Resource Locator)로 등록되며 특정한 헤더를 가지는데 [InternetShortcut]으로 시작한다. Windows 설치시 기본으로 로드되는 즐겨찾기 사이트는 다소 다른데 이를 알아두면 사용자가 즐겨찾기를 추가/이동/삭제했는지 판단하는데 도움이 된다. 악성코드는 사용자 모르게 이 곳에 등록하는 경우도 있는데 그럴 경우 생성시간이 1~2 초 내에 여러 개의 즐겨찾기가 등록된 것이라면 사용자가 수동으로 등록한 것이 아니라고 보면 된다.
Cookies Folder (쿠키 폴더)
이전 버전의 Windows에서 Cookie는 루트 사용자 폴더에 저장되었으나 Vista에서는 \Users\%UserName%\AppData\Roaming\Microsoft\Windows\Cookies에서 찾아볼 수 있다. 쿠키는 웹사이트에서 사용자의 Local Computer에 생성한 코드 조각인데 원래 사용자가 웹브라우징을 향상시키기 위한 목적으로 만들어졌으나 실제 그 내용이나 목적은 알 수 없다. 보통 username@domainname.txt 형태로 되어 있고 전체 쿠키 모음이 index.dat파일에서 관리된다. 이 파일은 날짜와 내부 날짜(internal date)를 담고 있는데 내부 날자란 웹사이트가 최종 수정된 때와 폐기날짜를 지정하고 있다.
History Folder (히스토리 폴더)
이전 버전의 Windows에서 History 폴더는 Local Settings 내에 있었으나 Vista에서는 \Users\%UserName%\AppData\Local\Microsoft\Windows\History에서 찾아볼 수 있다. 이 폴더 내에서 History.IE5와 Low\History.IE5를 찾아볼 수 있고 모든 히스토리를 관장하는 index.dat DB 파일이 있다. 기본 저장기간은 20일이며 폴더명은 MSHist01DateRange 로 되어 있다. (날짜범위 DateRange 형식은 YEARMODAYEARMODA임)
Internet History를 조사할 때 알아두어야 할 것이 있다. URL이 file:/// 로 시작되는 것들이 있는데 이는 실제 IE에서 열어본 것이라고 생각하기 쉬우나 실은 그렇지 않다. 로컬 파일을 특정 application으로 열었다고 할지라도 이 곳에 등록된다. MS Office 문서를 비롯한 다른 종류의 파일들도 마찬가지다.
'EnCase' 카테고리의 다른 글
| [EnCase] Prometric Voucher 등록 및 신청 (4) | 2010/03/03 |
|---|---|
| EnCE Phase 1 시험 후기 (8) | 2010/02/22 |
| [EnCase] Windows Operating System Artifacts (2) (9) | 2009/12/12 |
| [EnCase] Windows Operating System Artifacts (1) (0) | 2009/11/22 |
| [EnCase] Advanced Search Techniques (0) | 2009/10/17 |
| [EnCase] First Response (0) | 2009/07/19 |
댓글을 달아 주세요
좋은 자료네요...^^
2009/12/17 13:15 [ ADDR : EDIT/ DEL : REPLY ]기존에 알고 있던 내용도 다시 보면서 정리되고, 새로운 사실도 알게되서...
윈도우즈 7에서는 (비스타는 확인을 못해봤네요 ㅎㅎ) hiberfil.sys 파일의 사이즈는 기본값으로 RAM 크기의 75% 를 할당한다고 합니다. 일반적으로 작업 부하가 75%이하라는 통계적인 결과에 따라 설정한 것이라고 하는데요. 물론 설정을 변경할 수 있지만 만일 75%의 크기로 hiberfil.sys 파일이 할당되었다면 작업부하가 75%를 넘을 경우 이를 압축하여 저장한다고 합니다. [^_^]"
2010/05/31 20:58 [ ADDR : EDIT/ DEL : REPLY ]*출처 : Reducing the Disk Footprint for Windows 7 Hibernation
그렇군요... 좋은 정보 감사합니다.
2010/06/01 14:24 [ ADDR : EDIT/ DEL ]안녕하세요?
2010/06/17 00:56 [ ADDR : EDIT/ DEL : REPLY ]hiberfil.sys 파일 관련 질문이 있어서요.
hiberfil.sys파일은 최대절전모드로 들어갈 때 메모리에 있던 내용을
하드디스크에 저장하는 것이라고 알고 있습니다.
만약 이 파일의 최초 작성이 3.3일이라고 가정하고
3.15일쯤 최대절전모드로 들어가면서 hiberfil.sys파일에 3.15일 문서의 내용이 추가되었다고 할 경우
특정 단어가 hiberfil.sys파일에서 발견되었다면
이 특정단어는 3.3일에 작성된것인지 3.15일에 작성된 것인지, 아니면 3.3일과 3.15일 사이 어느 날에 작성된 것인지 구분이 가능할까요?
네이버에 질문글을 올려도 답변이 없는데다
여기 운영자분께서 상당한 지식이 있는듯 하여
초면에 실례를 하면서도 글을 올림을 죄송스럽게 생각합니다. 부디 답변 부탁드립니다.
질문 감사합니다.^^ 실례라뇨. 질문이라면 언제든지 환영입니다. 제가 아는 선에서 답변 드리겠습니다.
2010/06/17 02:07 [ ADDR : EDIT/ DEL ]Hibernation 파일(hiberfil.sys)은 말씀하신 대로 최대절전모드에서 전기를 절약하기 위한 방법입니다. 데스크탑은 전원코드와 물려있기 때문에 따로 설정을 해야 하지만(예전에는 불가능) 노트북의 경우에는 최대절전모드만 하면 쉽게 가능합니다. 전원은 끄지 않은 상태에서 램의 내용을 파일로 쓰기 때문에 램의 내용을 유지하기 위한 전력이 필요없게 되어버리죠. 말그대로 시스템이 동작하기 위한 최소한의 전력만 남기고 다 줄이게 됩니다.
해당 파일은 최대절전모드로 들어가는 시점에 생성됩니다. 따라서 파일의 시간정보를 확인하면 언제 생성된 파일인지를 알 수 있습니다. 따라서 파일의 내용도 그 시점의 메모리 내용이 됩니다. 결국, 특정 hiberfil.sys 에서 어떤 단어가 나온다면 그 파일이 생성된 (최대절전모드로 들어간) 시점에 램에 상주하고 있던 데이터입니다.
다만, 컴퓨터를 재부팅하지 않는 경우 일주일 전의 데이터도 램에 남아 있을 가능성이 있기 때문에 섣불리 어느 시점의 데이터라고 추정하기는 어렵습니다. 레지스트리를 통해 최근 부팅 시간을 참고하면 최근 부팅 시점부터 파일(hiberfil.sys)이 생성된 시간 사이에 데이터 인것은 확실하겠죠.
2010/06/17 02:07 [ ADDR : EDIT/ DEL ]빠른 답변에 진심으로 감사드리며 한가지 더 여쭙겠습니다.
2010/06/17 02:21 [ ADDR : EDIT/ DEL : REPLY ]hiberfil.sys 파일은 노트북에서 최대절전모드를 사용하기 시작한 날 최초 작성일로 생성이 되고
그 이후에는 최대절전모드가 될 때마다 최초의 파일에 덮어씌여지는 것 같은데요
질문1)
최초의 파일을 완전히 지우고 덮어씌여지는건가요? 아니면 덧붙여지면서 수정되는건가요?
질문2)
이 파일역시 메모장에서 만드는 txt파일이나 한글파일의 속성부분에 나오는 것처럼
최초작성일, 수정된날짜 등을 따로 따로 확인이 가능한 건가요?
질문1) 정확한건 시험을 해봐야겠지만 제가 지금 MBP로 바꾼 상태라서 테스트를 해볼수가 없네요.. 제가 아는 바로는 한번 생성되면 이후의 생성에서는 지우고 생성하는게 아니라 파일을 수정만 합니다. 그래서 파일 속성의 시간 정보를 보시면 생성 시간은 변경이 안되고 수정 시간만 변경이 되어 있을 겁니다.
2010/06/17 12:32 [ ADDR : EDIT/ DEL ]질문 2) 윈도우 시스템의 모든 파일은 동일한 시간 속성을 가집니다. FAT의 경우 3개, NTFS의 경우 8개의 시간 정보를 가집니다. 폴더 속성에서 "운영체제로 보호된 파일 보기"를 클릭 한 후 시스템 드라이브(ex, C:\)에 가보면 파일을 확인할 수 있습니다. 기본적으로 시스템 드라이브 루트에 생성이 되고, 레지스트리 수정을 통해 변경도 가능합니다.
탐색기에서 속성을 추가한 후 보셔도 되고, 파일 속성에서 보셔도 시간 정보를 확인할 수 있습니다.
답변 정말 감사합니다. 매일 매일 행복한 하루 되세요.
2010/06/18 18:41 [ ADDR : EDIT/ DEL : REPLY ]