국립중앙도서관 "우편 복사 서비스"로 연결 됩니다.
DBpiaWindows 운영체제는 다양한 전원 및 절전 옵션을 제공하며 옵션 선택에 따라 휘발성 메모리 데이터를 보조기억장치 내에 hiberfil.sys 파일로 저장한다. 특히 ‘빠른 시작’ 옵션이 활성화되어 있...
다국어 입력
あ
ぁ
か
が
さ
ざ
た
だ
な
は
ば
ぱ
ま
や
ゃ
ら
わ
ゎ
ん
い
ぃ
き
ぎ
し
じ
ち
ぢ
に
ひ
び
ぴ
み
り
う
ぅ
く
ぐ
す
ず
つ
づ
っ
ぬ
ふ
ぶ
ぷ
む
ゆ
ゅ
る
え
ぇ
け
げ
せ
ぜ
て
で
ね
へ
べ
ぺ
め
れ
お
ぉ
こ
ご
そ
ぞ
と
ど
の
ほ
ぼ
ぽ
も
よ
ょ
ろ
を
ア
ァ
カ
サ
ザ
タ
ダ
ナ
ハ
バ
パ
マ
ヤ
ャ
ラ
ワ
ヮ
ン
イ
ィ
キ
ギ
シ
ジ
チ
ヂ
ニ
ヒ
ビ
ピ
ミ
リ
ウ
ゥ
ク
グ
ス
ズ
ツ
ヅ
ッ
ヌ
フ
ブ
プ
ム
ユ
ュ
ル
エ
ェ
ケ
ゲ
セ
ゼ
テ
デ
ヘ
ベ
ペ
メ
レ
オ
ォ
コ
ゴ
ソ
ゾ
ト
ド
ノ
ホ
ボ
ポ
モ
ヨ
ョ
ロ
ヲ
―
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
예시)
- 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
- 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
А
Б
В
Г
Д
Е
Ё
Ж
З
И
Й
К
Л
М
Н
О
П
Р
С
Т
У
Ф
Х
Ц
Ч
Ш
Щ
Ъ
Ы
Ь
Э
Ю
Я
а
б
в
г
д
е
ё
ж
з
и
й
к
л
м
н
о
п
р
с
т
у
ф
х
ц
ч
ш
щ
ъ
ы
ь
э
ю
я
′
″
℃
Å
¢
£
¥
¤
℉
‰
$
%
F
₩
㎕
㎖
㎗
ℓ
㎘
㏄
㎣
㎤
㎥
㎦
㎙
㎚
㎛
㎜
㎝
㎞
㎟
㎠
㎡
㎢
㏊
㎍
㎎
㎏
㏏
㎈
㎉
㏈
㎧
㎨
㎰
㎱
㎲
㎳
㎴
㎵
㎶
㎷
㎸
㎹
㎀
㎁
㎂
㎃
㎄
㎺
㎻
㎽
㎾
㎿
㎐
㎑
㎒
㎓
㎔
Ω
㏀
㏁
㎊
㎋
㎌
㏖
㏅
㎭
㎮
㎯
㏛
㎩
㎪
㎫
㎬
㏝
㏐
㏓
㏃
㏉
㏜
㏆
RISS 인기검색어
https://www.riss.kr/link?id=A107367957
- 저자
- 발행기관
- 학술지명
- 권호사항
-
발행연도
2021
-
작성언어
Korean
- 주제어
-
등재정보
KCI등재
-
자료형태
학술저널
-
수록면
125-136(12쪽)
-
KCI 피인용횟수
0
- DOI식별코드
- 제공처
-
0
상세조회 -
0
다운로드
부가정보
국문 초록 (Abstract)
Windows 운영체제는 다양한 전원 및 절전 옵션을 제공하며 옵션 선택에 따라 휘발성 메모리 데이터를 보조기억장치 내에 hiberfil.sys 파일로 저장한다. 특히 ‘빠른 시작’ 옵션이 활성화되어 있는 경우, 시스템 종료를 하면 종료 직전 휘발성 메모리에 적재되어 있던 Windows 커널 및 드라이버의 메모리 영역이 보조기억장치에 백업되기 때문에 메모리 데이터를 활성 상태가 아닌 비활성 상태에서 확보할 수 있게 되었다. 이에 비활성 시스템에서도 hiberfil.sys 파일을 통해 메모리 포렌식을 할 수 있는 가능성이 생겨났다. 이러한 가능성을 바탕으로 본 논문에서는 메모리 데이터의 커널 영역에서 관리되는 파일시스템 드라이버 관련 객체들을 기반으로 시스템 종료 직전 행해진 외부 저장 장치로의 파일 복사 흔적을 추적하는 방안을 제시한다.
다국어 초록 (Multilingual Abstract)
Windows provides a variety of power saving options and store volatile memory data as the hiberfil.sys file in a auxiliary memory according to option selection. Especially, when the "fast start" option is activated, the memory area of the Windows kerne...
Windows provides a variety of power saving options and store volatile memory data as the hiberfil.sys file in a auxiliary memory according to option selection. Especially, when the "fast start" option is activated, the memory area of the Windows kernel and driver loaded in the volatile memory just before the end of the system is backed up in the auxiliary memory, so that the memory data can be secured in not only the active system but also the inactive state. This has led to the possibility of memory forensics through memory data obtained from the hiberfil.sys file in the inactive system. Based on this possibility, in this paper, we propose a method to track file copy traces to external storage devices that were performed just before the end of the system based on file system driver-related objects managed in the kernel area of memory data.
목차 (Table of Contents)
- 요약
- ABSTRACT
- Ⅰ. 서론
- Ⅱ. 관련 연구
- Ⅲ. Windows 운영체제의 전원 및 절전 옵션
- 요약
- ABSTRACT
- Ⅰ. 서론
- Ⅱ. 관련 연구
- Ⅲ. Windows 운영체제의 전원 및 절전 옵션
- IV. hiberfil.sys 파일 수집 및 분석 방안
- V. 사례 연구
- VI. 결론 및 향후 연구
- 참고문헌 (References)
참고문헌 (Reference)
1 이경호, "윈도우 최대 절전 모드 파일의 메모리 데이터 암호화 기법 연구" 한국정보보호학회 27 (27): 1013-1022, 2017
2 Microsoft, "[MS-XCA]: Xpress Compression Algorithm"
3 Matthieu Suiche, "Windows hibernation file for fun 'n' profit"
4 Ahmad Ghafarian, "Windows 10 Hibernation File Forensics" Springer 431-445, 2020
5 Volatility Foundation, "Volatility: The volatile memory extraction framework"
6 Azad Singh, "Role of hibernation file in memory forensics of Windows 10" 7 (7): 42-47, 2016
7 Rekall, "Rekall Forensics"
8 Microsoft, "RAMMap"
9 Microsoft, "PoolMon"
10 Joe T. Sylve, "Pool tag quick scanning for windows memory analysis" 16-, 2016
1 이경호, "윈도우 최대 절전 모드 파일의 메모리 데이터 암호화 기법 연구" 한국정보보호학회 27 (27): 1013-1022, 2017
2 Microsoft, "[MS-XCA]: Xpress Compression Algorithm"
3 Matthieu Suiche, "Windows hibernation file for fun 'n' profit"
4 Ahmad Ghafarian, "Windows 10 Hibernation File Forensics" Springer 431-445, 2020
5 Volatility Foundation, "Volatility: The volatile memory extraction framework"
6 Azad Singh, "Role of hibernation file in memory forensics of Windows 10" 7 (7): 42-47, 2016
7 Rekall, "Rekall Forensics"
8 Microsoft, "RAMMap"
9 Microsoft, "PoolMon"
10 Joe T. Sylve, "Pool tag quick scanning for windows memory analysis" 16-, 2016
11 Joe T. Sylve, "Modern windows hibernation file analysis" 20 : 16-22, 2017
12 Arsenal Recon, "Hibernation Recon"
13 Microsoft, "Distinguishing Fast Startup from Wake-from-Hibernation"
동일학술지(권/호) 다른 논문
-
- 한국디지털포렌식학회
- 이수현(Soo-Hyeon Lee)
- 2021
- KCI등재
-
디지털 포렌식 사설 업체에 위탁된 데이터 보호 방안에 관한 연구 (디지털 포렌식 랩(시설)이 구비해야 할 요건 제시)
- 한국디지털포렌식학회
- 남기욱(Ki-Uk Nam)
- 2021
- KCI등재
-
스마트폰 녹음 데이터베이스의 법과학적 활용에 대한 연구
- 한국디지털포렌식학회
- 김경화(Kyung-Wha Kim)
- 2021
- KCI등재
-
선박용 GPS 플로터의 위치정보 추출을 통한 항적 데이터 분석 방법
- 한국디지털포렌식학회
- 변준석(Junseok Byun)
- 2021
- KCI등재
분석정보
인용정보 인용지수 설명보기
학술지 이력
| 연월일 | 이력구분 | 이력상세 | 등재구분 |
|---|---|---|---|
| 2027 | 평가예정 | 재인증평가 신청대상 (재인증) | |
| 2021-05-04 | 학회명변경 | 영문명 : 미등록 -> Korean Digital Forensics Society |  |
| 2021-01-01 | 평가 | 등재학술지 유지 (재인증) | |
| 2018-01-01 | 평가 | 등재학술지 선정 (계속평가) | |
| 2016-01-01 | 평가 | 등재후보학술지 선정 (신규평가) |  |
학술지 인용정보
| 기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
|---|---|---|---|
| 2016 | 0.17 | 0.17 | 0.28 |
| KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
| 0.24 | 0.21 | 0.613 | 0 |
연관 공개강의(KOCW)
이 자료와 함께 이용한 RISS 자료
나만을 위한 추천자료
