[Hibernation 정의]
시스템에 일정시간이 지나도 아무런 입력이 없을 때 OS가 모든 메모리 데이터를 하드 드라이브에 기록하고 시스템 구동에 필요한 최소전원공급만을 남겨둔 채 필요 없는 전원을 차단하는 기능이다. 이 기능의 목적은 효율적인 전원 관리이다.
정의를 읽어보면 우리가 알고 있는 컴퓨터의 Sleep mode과 많이 유사하다는 것을 알 수 있다. 하지만, 이 두 기능은 분명한
차이가 있는데 그 차이는 다음과 같이 설명 할 수 있다.
[슬립기능과 하이버네이션의 차이]
1. Sleep mode
- 해당 기능은 메모리의 데이터가 손실되지 않도록 계속 전원을 공급하는 방식이다.
2. 하이버네이션
- 해당 기능은 메모리의 데이터를 하드 드라이브에 기록하고 시스템 구동에 필요하지 않은 전원들은 모두 차단한다.
* 결과적으로 슬립모드와 하이버네이션의 차이점은 메모리의 데이터를 유지하는 방식과 전원차단에 있다.
이로 인해 슬립모드의 경우 다시 시스템을 원상태로 복구하는 시간이 짧은 반면, 하이버네이션은 슬립모드
오래 걸린다.
하이버네이션의 장단점을 일단 짚어보고 다음으로 넘어가 보자.
[하이버네이션 장단점]
1. 장점
- 추가적인 프로그램이나 장비가 필요하지 않음.
- OS의 기본적인 기능으로 생성되기 때문에 크래시덤프만큼의 데이터 정확성이 있고 순수한 결과물을 얻을 수 있음.
2. 단점
- 하이버네이션 파일은 사건이 일어날 시간보다 훨씬 이전에 만들어졌을 가능성이 높음.
- 마더보드의 칩셋과 OS가 이 기능을 지원해야 하고 CMOS와 OS에서 기능이 설정되어 있어야 함.
- 메모리에 있는 정보를 모두 기록하는 것이 아님.
- 덤프 결과물은 로컬 하드 드라이브에 저장하여 라이브 리스폰스에서의 목적으로는 부적합 함.
- 일반PC에는 하이버네이션 기능이 비활성화 되어 있음.(노트북등 휴대용 PC에는 기본적으로 활성화)
하이버네이션의 기능을 이용한 메모리 덤프 결과물을 얻으려면 몇가지 조건이 있어야 한다.
그 조건은 다음과 같다.
[하이버네이션 기능 수행 조건]
- CMOS와 OS설정에서 하이버네이션 설정이 되어 있어야 한다.
- 시스템에 얼마간의 입력이 없어야 하며, 서비스나 프로세스에 의해서 입력이 있어서도 안된다.
일단 저 기능을 모두 만족할 수 있다는 가정 하에 하이버네이션을 어떻게 확인 할 것인가?
하이버네이션은 XP 기준으로 [제어판] -> [전원옵션] -> [최대 절전 모드 탭] 에서 확인 할 수 있다.
위 이미지에서 최대 절전 모드에 체크가 되어 있어야 하이버네이션 기능 활성화 된다.
위 이미지의 OS는 일반 가정용 PC라서 하이버네이션 기능이 비 활성화되어 있는 것이다.
하이버네이션 기능을 사용하여 메모리 분석을 하면 좋겠지만, 그렇지 못하다면 굳이 할 필요는 없다.
'[+] Forensic' 카테고리의 다른 글
| Memory Analysis (7) (0) | 2011.12.28 |
|---|---|
| Memory Analysis (6) (0) | 2011.12.26 |
| Memory Analysis (4) (0) | 2011.12.25 |
| Memory Analysis (3) (2) | 2011.12.25 |
