KR101871407B1 - Apparatus for identifying work history of removable storage media and method using the same - Google Patents

Apparatus for identifying work history of removable storage media and method using the same Download PDF

Info

Publication number
KR101871407B1
KR101871407B1 KR1020160074993A KR20160074993A KR101871407B1 KR 101871407 B1 KR101871407 B1 KR 101871407B1 KR 1020160074993 A KR1020160074993 A KR 1020160074993A KR 20160074993 A KR20160074993 A KR 20160074993A KR 101871407 B1 KR101871407 B1 KR 101871407B1
Authority
KR
South Korea
Prior art keywords
information
storage medium
history
files
analyzing
Prior art date
Application number
KR1020160074993A
Other languages
Korean (ko)
Other versions
KR20170141940A (en
Inventor
이성재
조응준
이상호
최대식
최명렬
조상우
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160074993A priority Critical patent/KR101871407B1/en
Publication of KR20170141940A publication Critical patent/KR20170141940A/en
Application granted granted Critical
Publication of KR101871407B1 publication Critical patent/KR101871407B1/en

Links

Images

Classifications

    • G06F17/30144
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/1734Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/16File or folder operations, e.g. details of user interfaces specifically adapted to file systems
    • G06F17/3007
    • G06F17/30115
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/21Employing a record carrier using a specific recording technology
    • G06F2212/214Solid state disk
    • G06F2212/2146Solid state disk being detachable, e.g.. USB memory

Abstract

이동형 저장 매체의 사용 이력 식별 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 이동형 저장 매체의 사용 이력 식별 장치는 이동 저장 매체의 사용 이력에 관련된 이벤트 정보를 분석하는 이벤트 정보 분석부; 상기 이벤트 정보의 분석 결과에 기반하여 레지스트리 정보를 분석하는 레지스트리 정보 분석부; 상기 레지스트리 정보의 분석 결과에 기반하여 상기 사용 이력에 관련된 파일들을 분석하는 파일실행 분석부 및 상기 이벤트 정보, 상기 레지스트리 정보 및 상기 파일들의 분석 결과들 중 어느 하나 이상에 기반하여 상기 사용 이력을 식별하는 사용 이력 식별부를 포함한다.Disclosed is a use history identifying apparatus and method for a removable storage medium. An apparatus for use history identification of a portable storage medium according to an exemplary embodiment of the present invention includes an event information analyzer for analyzing event information related to a use history of a mobile storage medium; A registry information analyzer for analyzing registry information based on an analysis result of the event information; A file execution analyzing unit for analyzing files related to the use history based on an analysis result of the registry information, and a history analyzing unit for identifying the usage history based on at least one of analysis results of the event information, the registry information, And a usage history identification unit.

Description

이동 저장 매체의 사용 이력 식별 장치 및 방법 {APPARATUS FOR IDENTIFYING WORK HISTORY OF REMOVABLE STORAGE MEDIA AND METHOD USING THE SAME}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to an apparatus and method for identifying a use history of a moving storage medium,

본 발명은 데이터 보안 기술에 관한 것으로, 보다 상세하게는 이동형 저장 매체의 사용 이력을 식별하는 기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention [0002] The present invention relates to a data security technology, and more particularly, to a technique for identifying a usage history of a removable storage medium.

최근 발생하는 보안사고 중에서도 불법적인 이동형 저장 매체 반입을 통한 악성코드 감염 및 인가되지 않은 이동형 저장매체를 이용한 자료유출이 빈번하게 발생하고 있다.Among recent security incidents, malicious code infiltration through illegal import of portable storage media and data leakage using unauthorized portable storage media are frequently occurring.

하지만 해당 사고의 원인이 되는 시스템에서 증적 데이터를 추출하는 방법은 많은 문제점을 갖고 있어, 보안 사고 후 처리과정에서 많은 어려움을 겪고 있다.However, the method of extracting the steam data from the system that causes the accident has many problems, and it is experiencing a lot of difficulties in processing after the security incident.

종래에는 보안사고가 발생하였을 때 시스템에 접속하였던 이동형 저장매체의 목록을 확인할 수는 있어 특정 시스템에 연결되었던 이동형 저장 매체의 목록 및 그 종류를 확인하는 방법에 관한 기술이 제안되어 있다.Conventionally, when a security incident occurs, a list of portable storage media connected to the system can be confirmed, and a list of portable storage media connected to a specific system and a method of confirming the type thereof have been proposed.

그러나, 시스템 자체에서는 이동형 저장매체에서 수행되었던 사용 이력을 확인할 수 있는 직접적인 데이터를 제공하지 않기 때문에, 실질적으로 컴퓨팅 장치와 연결되어 이동 저장 매체를 이용하여 수행되었던 사용 이력을 확인하지 못하고 있다.However, since the system itself does not provide direct data for confirming the history of use which has been performed in the portable storage medium, it can not confirm the history of use which has been actually performed using the mobile storage medium by being connected to the computing device.

한편, 한국산업정보학회논문지 2010.12, 39-45페이지에 개재된"외장형 USB 저장장치의 포렌식 조사 방법"은 Disk Signature의 분석을 통한 USB Key/Thumb drive, USB Drive Enclosure 사용여부의 확인과 구분 방법에 관하여 개시하고 있다.On the other hand, "Forensic Investigation Method of External USB Storage Device" published on December 12, 2010, pp. 39-45 of the Korea Institute of Industrial Information, .

그러나, 한국산업정보학회논문지 2010.12, 39-45페이지에 개재된“외장형 USB 저장장치의 포렌식 조사 방법”은 시스템에 연결되었던 외장형 USB 저장장치 인지 및 저장장치의 종류 식별에 대해서만 개시되어 있을 뿐, 시스템에 연결되었던 외장형 USB 저장 장치 식별 및 해당 장치를 통해서 수행되었던 사용 이력 추적·조회 방법에 대해서는 개시되어 있지 않다.However, the " Forensic Examination Method of External USB Storage Device " disclosed in the Journal of the Korea Industrial Information Society 2010.12, pp. 39-45 discloses only an external USB storage device connected to the system and identification of the type of storage device, The method of identifying the external USB storage device connected to the external USB storage device and the method of tracking and inquiring the use of the external USB storage device have not been disclosed.

본 발명은 이동형 저장 매체를 이용하여 컴퓨팅 장치에서 수행되었던 사용 이력을 식별하는 것을 목적으로 한다.The present invention seeks to identify usage histories that were performed in a computing device using a removable storage medium.

또한, 본 발명은 이동형 저장 매체가 컴퓨팅 장치에 연결된 시간 동안 드라이브 문자열 정보에 기반하여 최근 실행 문서 폴더의 링크 파일들, 브라우저의 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들을 분석하는 것을 목적으로 한다.The present invention also aims to analyze file execution histories recorded in the registry and link files of a recently executed document folder, browser history files and registry, based on the drive string information during the time when the removable storage medium is connected to the computing device .

또한, 본 발명은 링크 파일들, 브라우저의 절대 경로 정보와 시간 정보 및 레지스트리에 기록된 파일 실행 이력들에 따라 사용 이력을 식별하고, 열람할 수 있도록 저장하는 것을 목적으로 한다.It is another object of the present invention to identify usage logs according to link files, absolute path information and time information of browsers, and file execution histories recorded in the registry, and store them for browsing.

또한, 본 발명은 보안사고 발생 시에 증빙 자료로 제출하기 위하여 저장된 사용 이력을 열람하는 것을 목적으로 한다.The present invention also aims to view the history of use stored for the purpose of submitting as evidence when a security incident occurs.

상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 이동 저장 매체의 사용 이력 식별 장치는 이동 저장 매체의 사용 이력에 관련된 이벤트 정보를 분석하는 이벤트 정보 분석부; 상기 이벤트 정보의 분석 결과에 기반하여 레지스트리 정보를 분석하는 레지스트리 정보 분석부; 상기 레지스트리 정보의 분석 결과에 기반하여 상기 사용 이력에 관련된 파일들을 분석하는 파일실행 분석부; 및 상기 이벤트 정보, 상기 레지스트리 정보 및 상기 파일들의 분석 결과들 중 어느 하나 이상에 기반하여 상기 사용 이력을 식별하는 사용 이력 식별부를 포함한다.According to an aspect of the present invention, there is provided an apparatus for identifying a use history of a mobile storage medium, the apparatus comprising: an event information analyzer for analyzing event information related to a use history of the mobile storage medium; A registry information analyzer for analyzing registry information based on an analysis result of the event information; A file execution analyzer for analyzing files related to the usage history based on an analysis result of the registry information; And a usage history identification unit for identifying the usage history based on at least one of the event information, the registry information, and analysis results of the files.

이 때, 상기 사용 이력 식별 장치는 식별된 사용 이력을 열람 하기 위하여, 상기 식별된 사용 이력을 저장하는 사용 이력 저장부를 더 포함할 수 있다.In this case, the usage history identification device may further include a usage history storage unit for storing the usage history to identify the usage history.

이 때, 상기 이벤트 정보 분석부는 상기 이벤트 정보에서 상기 이동 저장 매체를 식별하는 이동 저장 매체 식별자, 상기 이동 저장 매체와 컴퓨팅 장치의 연결 시간 정보 및 해제 시간 정보 중 어느 하나 이상을 획득할 수 있다.In this case, the event information analyzing unit may obtain at least one of a mobile storage medium identifier identifying the mobile storage medium, connection time information of the mobile storage medium, and release time information in the event information.

이 때, 상기 이동 저장 매체 식별자는 상기 이동 저장 매체를 식별할 수 있는 전역 고유 식별자(Globally Unique Identifier, GUID), 벤더 식별자(Vendor Identifier, VID), 프로덕트 식별자(Product Identifier, PID) 및 시리얼 넘버 중 어느 하나 이상에 상응할 수 있다.At this time, the mobile storage medium identifier includes a Globally Unique Identifier (GUID), a Vendor Identifier (VID), a Product Identifier (PID), and a serial number It may correspond to more than one.

이 때, 상기 레지스트리 정보 분석부는 상기 이동 저장 매체 식별자에 기반하여 상기 레지스트리 정보를 분석하여 상기 이동 저장 매체와 연결된 상기 컴퓨팅 장치의 드라이브 문자열 정보를 확인할 수 있다.At this time, the registry information analyzing unit analyzes the registry information based on the moving storage medium identifier to confirm the drive string information of the computing device connected to the moving storage medium.

이 때, 상기 파일실행 분석부는 상기 최근 실행 문서(recent) 폴더에 존재하는 링크 파일들, 브라우저의 사용 이력이 기록된 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들 중 어느 하나 이상을 분석할 수 있다.At this time, the file execution analyzer can analyze one or more of the link files existing in the recent execution folder (recent folder), the history files in which the browser usage history is recorded, and the file execution histories recorded in the registry have.

이 때, 상기 파일실행 분석부는 상기 링크 파일들을 분석하여 원본 프로그램, 파일의 절대 경로 정보 및 파일의 시간 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the file execution analyzing unit analyzes the link files to obtain at least one of the original program, the absolute path information of the file, and the time information of the file.

이 때, 상기 파일실행 분석부는 상기 히스토리 파일들을 분석하여 웹 서비스의 URL 주소, 상기 URL 주소별 이용 시간 정보, 상기 브라우저를 이용하여 실행한 문서 파일 정보 및 상기 브라우저를 이용하여 실행한 프로그램 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the file execution analyzing unit analyzes the history files and extracts the URL information of the Web service, usage time information per URL address, document file information executed using the browser, and program information executed using the browser You can earn more than one.

이 때, 상기 파일실행 분석부는 상기 레지스트리에 기록된 파일 실행 이력들을 분석하여 실행된 파일들의 절대 경로 정보, 시간 정보 및 종류 정보를 획득할 수 있다.At this time, the file execution analyzer may analyze file execution histories recorded in the registry to obtain absolute path information, time information, and category information of the executed files.

이 때, 상기 사용 이력 식별부는 상기 드라이브 문자열 정보와 상기 연결 시간 정보 및 상기 해제 시간 정보를 맵핑할 수 있다.At this time, the use history identification unit may map the drive string information, the connection time information, and the release time information.

이 때, 상기 사용 이력 식별부는 상기 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 상기 해제시간 정보에 기반하여 상기 이동 저장 매체가 상기 컴퓨팅 장치의 상기 드라이브 문자열로 연결된 시간 동안에 상응하는 상기 분석 결과들로부터 상기 사용 이력을 식별할 수 있다.At this time, the usage history identifying unit may determine, based on the connection time information mapped to the drive string information and the release time information, the corresponding history information from the corresponding analysis results during the time when the mobile storage medium is connected to the drive string of the computing device The use history can be identified.

또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 이동 저장 매체의 사용 이력 식별 방법은 이동 저장 매체의 사용 이력 식별 장치를 이용하는 방법에 있어서, 상기 이동 저장 매체의 사용 이력에 관련된 이벤트 정보를 분석하는 단계; 상기 이벤트 정보의 분석 결과에 기반하여 레지스트리 정보를 분석하는 단계; 상기 레지스트리 정보의 분석 결과에 기반하여 상기 사용 이력에 관련된 파일들을 분석하는 단계; 및 상기 이벤트 정보, 상기 레지스트리 정보 및 상기 파일들의 분석 결과들 중 어느 하나 이상에 기반하여 상기 사용 이력을 식별하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method for identifying a use history of a mobile storage medium, the method comprising the steps of: Analyzing the information; Analyzing the registry information based on the analysis result of the event information; Analyzing files related to the usage history based on an analysis result of the registry information; And identifying the usage history based on at least one of the event information, the registry information, and the analysis results of the files.

이 때, 상기 사용 이력 식별 방법은 상기 식별하는 단계 이후에, 식별된 사용 이력을 열람 하기 위하여, 상기 식별된 사용 이력을 저장하는 단계를 더 포함할 수 있다.At this time, the usage history identification method may further include, after the identifying step, storing the identified usage history to browse the identified usage history.

이 때, 상기 이벤트 정보를 분석하는 단계는 상기 이벤트 정보에서 상기 이동 저장 매체를 식별하는 이동 저장 매체 식별자, 상기 이동 저장 매체와 컴퓨팅 장치의 연결 시간 정보 및 해제 시간 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the analyzing event information may acquire at least one of a mobile storage medium identifier identifying the mobile storage medium, connection time information of the mobile storage medium and connection time information of the computing device in the event information have.

이 때, 상기 이동 저장 매체 식별자는 상기 이동 저장 매체를 식별할 수 있는 전역 고유 식별자(Globally Unique Identifier, GUID), 벤더 식별자(Vendor Identifier, VID), 프로덕트 식별자(Product Identifier, PID) 및 시리얼 넘버 중 어느 하나 이상에 상응할 수 있다.At this time, the mobile storage medium identifier includes a Globally Unique Identifier (GUID), a Vendor Identifier (VID), a Product Identifier (PID), and a serial number It may correspond to more than one.

이 때, 상기 레지스트리 정보를 분석하는 단계는 상기 이동 저장 매체 식별자에 기반하여 상기 레지스트리 정보를 분석하여 상기 이동 저장 매체와 연결된 상기 컴퓨팅 장치의 드라이브 문자열 정보를 확인할 수 있다.At this time, the analyzing the registry information may analyze the registry information based on the mobile storage medium identifier to confirm the drive string information of the computing device connected to the mobile storage medium.

이 때, 상기 파일들을 분석하는 단계는 상기 최근 실행 문서(recent) 폴더에 존재하는 링크 파일들, 브라우저의 사용 이력이 기록된 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들 중 어느 하나 이상을 분석할 수 있다.At this time, the analyzing of the files may include analyzing at least one of link files existing in the recent execution folder, history files in which the browser usage history is recorded, and file execution histories recorded in the registry can do.

이 때, 상기 파일들을 분석하는 단계는 상기 링크 파일들을 분석하여 원본 프로그램, 파일의 절대 경로 정보 및 파일의 시간 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the analyzing of the files may acquire at least one of an original program, absolute path information of a file, and time information of a file by analyzing the link files.

이 때, 상기 파일들을 분석하는 단계는 상기 히스토리 파일들을 분석하여 웹 서비스의 URL 주소, 상기 URL 주소별 이용 시간 정보, 상기 브라우저를 이용하여 실행한 문서 파일 정보 및 상기 브라우저를 이용하여 실행한 프로그램 정보 중 어느 하나 이상을 획득할 수 있다.The analyzing the files may include analyzing the history files to determine a URL address of the web service, usage time information per URL address, document file information executed using the browser, and program information Can be obtained.

이 때, 상기 파일들을 분석하는 단계는 상기 레지스트리에 기록된 파일 실행 이력들을 분석하여 실행된 파일들의 절대 경로 정보, 시간 정보 및 종류 정보를 획득할 수 있다.At this time, the analyzing the files may analyze file execution histories recorded in the registry to obtain absolute path information, time information, and category information of the executed files.

이 때, 상기 식별하는 단계는 상기 드라이브 문자열 정보와 상기 연결 시간 정보 및 상기 해제 시간 정보를 맵핑할 수 있다.At this time, the identifying step may map the drive string information, the connection time information, and the release time information.

이 때, 상기 식별하는 단계는 상기 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 상기 해제시간 정보에 기반하여 상기 드라이브 문자열로 상기 이동 저장 매체가 연결된 시간 동안에 상응하는 상기 분석 결과들로부터 상기 사용 이력을 식별할 수 있다.Wherein the identifying step identifies the usage history from the corresponding analysis results during the time when the removable storage medium is connected to the drive string based on the connection time information mapped to the drive string information and the release time information, can do.

본 발명은 이동형 저장 매체를 이용하여 컴퓨팅 장치에서 수행되었던 사용 이력을 식별할 수 있다.The present invention can identify a history of use that has been performed in a computing device using a removable storage medium.

또한, 본 발명은 이동형 저장 매체가 컴퓨팅 장치에 연결된 시간 동안 드라이브 문자열 정보에 기반하여 최근 실행 문서 폴더의 링크 파일들, 브라우저의 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들을 분석할 수 있다.Further, the present invention can analyze link files of the latest executable document folder, browser history files, and file execution histories recorded in the registry based on the drive string information during the time when the removable storage medium is connected to the computing device.

또한, 본 발명은 링크 파일들, 브라우저의 절대 경로 정보와 시간 정보 및 레지스트리에 기록된 파일 실행 이력들에 따라 사용 이력을 식별하고, 열람할 수 있도록 저장할 수 있다.In addition, the present invention can identify the use history according to the link files, the absolute path information of the browser and the time information, and the file execution histories recorded in the registry, and store them so that they can be browsed.

또한, 본 발명은 보안사고 발생 시에 증빙 자료로 제출하기 위하여 저장된 사용 이력을 열람할 수 있다.In addition, the present invention can browse the history of use stored for presentation as evidence in the event of a security incident.

도 1은 본 발명의 일실시예에 따른 사용 이력 식별 장치를 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 사용 이력 식별 방법을 나타낸 동작흐름도 이다.
도 3은 도 2에 도시된 파일 분석 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 4는 도 2에 도시된 사용 이력 식별 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 5는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.1 is a block diagram showing a usage history identifying apparatus according to an embodiment of the present invention.
2 is a flowchart illustrating an operation history identifying method according to an embodiment of the present invention.
FIG. 3 is an operation flowchart illustrating an example of the file analysis step shown in FIG. 2 in detail.
FIG. 4 is an operation flowchart showing an example of the use history identifying step shown in FIG. 2 in detail.
5 is a block diagram illustrating a computer system in accordance with one embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 사용 이력 식별 장치를 나타낸 블록도이다.1 is a block diagram showing a usage history identifying apparatus according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 사용 이력 식별 장치는 사용 이력 분석부(110), 사용 이력 식별부(120) 및 사용 이력 저장부(130)를 포함한다.Referring to FIG. 1, a usage history identification device according to an embodiment of the present invention includes a usage history analyzer 110, a usage history identification unit 120, and a usage history storage unit 130.

사용 이력 분석부(110)는 이벤트 정보 분석부(111), 레지스트리 정보 분석부(112) 및 파일실행 분석부(113)를 포함한다.The usage history analyzing unit 110 includes an event information analyzing unit 111, a registry information analyzing unit 112, and a file execution analyzing unit 113.

이벤트 정보 분석부(111)는 이동 저장 매체의 사용 이력에 관련된 이벤트 정보를 분석할 수 있다.The event information analysis unit 111 may analyze event information related to the use history of the mobile storage medium.

컴퓨팅 장치는 외부 매체와의 통신을 위하여 시스템 이벤트를 발생시킬 수 있다. 시스템 이벤트들은 목적에 따라 이벤트 번호로 구분될 수 있고, 이벤트 정보 분석부(111)는 이벤트 번호에 기반하여 이동형 저장 매체와 관련된 이벤트 정보만을 별도로 추출될 수 있다.The computing device may generate a system event for communication with external media. System events may be divided into event numbers according to the purpose, and the event information analysis unit 111 may extract only event information related to the removable storage medium based on the event number.

이 때, 이벤트 정보 분석부(111)는 이벤트 정보에서 이동 저장 매체를 식별하는 이동 저장 매체 식별자, 상기 이동 저장 매체와 컴퓨팅 장치의 연결 시간 정보 및 해제 시간 정보 중 어느 하나 이상을 획득할 수 있다.In this case, the event information analyzing unit 111 may acquire at least one of a mobile storage medium identifier for identifying the mobile storage medium, connection time information of the mobile storage medium, and release time information in the event information.

이동 저장 매체 식별자는 이동 저장 매체를 식별할 수 있는 전역 고유 식별자(Globally Unique Identifier, GUID), 벤더 식별자(Vendor Identifier, VID), 프로덕트 식별자(Product Identifier, PID) 및 시리얼 넘버 중 어느 하나 이상에 상응할 수 있다.The mobile storage medium identifier corresponds to at least one of a Globally Unique Identifier (GUID), a Vendor Identifier (VID), a Product Identifier (PID), and a serial number that can identify a mobile storage medium can do.

또한, 이벤트 정보 분석부(111)는 이동형 저장 매체가 컴퓨팅 장치에 연결되거나 해제되는 순간 lifetime 값을 기록하여 연결 시간 정보 및 해제 시간 정보를 생성할 수 있다.In addition, the event information analyzing unit 111 may record the lifetime value at the moment when the portable storage medium is connected to or released from the computing device to generate the connection time information and the release time information.

lifetime 값은 이동 저장 매체가 컴퓨팅 장치에 연결될 경우, 컴퓨팅 장치가 이동 저장 매체를 구분하기 위한 값으로, 이동 저장 매체를 식별할 수 있는 전역 고유 식별자(Globally Unique Identifier, GUID)에 상응할 수 있다.The lifetime value may correspond to a Globally Unique Identifier (GUID) that allows a computing device to identify a removable storage medium, when the removable storage medium is connected to the computing device.

즉, 이벤트 정보 분석부(111)는 lifetime 값으로 이벤트들을 분류하고 분류된 이벤트 별로 이동 저장 매체와 컴퓨팅 장치가 연결될 때 발생한 이벤트 시간을 연결 시간 정보로 생성할 수 있고, 해제될 때 발생한 이벤트 시간을 해제 시간 정보로 생성할 수 있다.That is, the event information analyzing unit 111 can classify events into lifetime values, generate event time generated when a mobile storage medium and a computing device are connected for each classified event as connection time information, Can be generated as the release time information.

따라서, 이벤트 정보 분석부(111)는 lifetime 값에 상응하는 이벤트 별로 연결 시간 정보와 해제 시간 정보 쌍이 포함된 이벤트 정보를 통해 이동 저장 매체의 연결 시간을 확인할 수 있다.Therefore, the event information analyzing unit 111 can check the connection time of the mobile storage medium through the event information including the connection time information and the release time information pair for each event corresponding to the lifetime value.

레지스트리 정보 분석부(112)는 이벤트 정보의 분석 결과에 기반하여 레지스트리 정보를 분석할 수 있다.The registry information analysis unit 112 may analyze the registry information based on the analysis result of the event information.

컴퓨팅 장치는 외부 매체와의 통신을 위하여 관련된 데이터를 레지스트리에 기록할 수 있다. The computing device may write related data to the registry for communication with external media.

이 때, 레지스트리 정보 분석부(112)는 이동 저장 매체 식별자를 이용하여 이동 저장 매체와 연결된 컴퓨팅 장치의 드라이브 문자열 정보를 확인할 수 있다.At this time, the registry information analysis unit 112 can confirm the drive string information of the computing device connected to the mobile storage medium by using the mobile storage medium identifier.

파일실행 분석부(113)는 레지스트리 정보의 분석 결과에 기반하여 사용 이력에 관련된 파일들을 분석할 수 있다.The file execution analyzer 113 may analyze the files related to the usage history based on the analysis result of the registry information.

이 때, 파일실행 분석부(113)는 최근 실행 문서(recent) 폴더에 존재하는 링크 파일들, 브라우저의 사용 이력이 기록된 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들 중 어느 하나 이상을 분석할 수 있다.At this time, the file execution analysis unit 113 analyzes one or more of the link files existing in the recent execution folder (recent folder), the history files in which the browser usage history is recorded, and the file execution histories recorded in the registry can do.

컴퓨팅 장치는 사용자의 편의를 위해서 최근에 실행하였던 프로그램 및 파일과 관련된 정보를 최근 실행 문서 폴더에 링크 파일을 생성할 수 있다. 링크 파일은 원본 프로그램 및 파일들의 정보를 포함할 수 있다.The computing device can generate a link file in a recently executed document folder with information related to programs and files that have recently been executed for the convenience of the user. The link file may contain information of the original program and files.

예를 들어, windows 운영체제 에서는 windows 실행 창에 recent 입력으로 최근 실행된 파일들의 링크 파일들을 확인할 수 있다.For example, in the windows operating system, you can see the link files of recently executed files as recent input in the windows execution window.

이 때, 파일실행 분석부(113)는 링크 파일들을 분석하여 원본 프로그램, 파일의 절대 경로 정보 및 파일의 시간 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the file execution analyzer 113 analyzes the link files to obtain at least one of the original program, the absolute path information of the file, and the time information of the file.

절대 경로 정보는 파일이 위치한 폴더의 경로에 관한 정보에 상응할 수 있다.The absolute path information may correspond to information about the path of the folder where the file is located.

파일의 시간 정보는 파일의 사용 이력에 관한 정보에 상응할 수 있다.The time information of the file may correspond to the information on the usage history of the file.

또한, 컴퓨팅 장치의 브라우저는 사용자들이 이용하였던 웹 서비스의 URL 주소, URL 주소별 이용시간 정보, 브라우저를 이용하여 실행한 문서 파일 정보 및 이미지 파일 정보를 히스토리 파일들에 기록할 수 있다.Also, the browser of the computing device can record the URL address of the web service used by the users, the usage time information per URL address, the document file information executed using the browser, and the image file information in the history files.

이 때, 파일실행 분석부(113)는 히스토리 파일들을 분석하여 웹 서비스의 URL 주소, 상기 URL 주소별 이용 시간 정보, 브라우저를 이용하여 실행한 문서 파일 정보 및 이미지 파일 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the file execution analyzer 113 analyzes the history files and obtains at least one of the URL address of the web service, the usage time information of each URL address, the document file information executed using the browser, and the image file information .

이 때, 파일실행 분석부(113)는 히스토리 파일들을 분석하여 브라우저를 이용하여 실행한 원본 프로그램 및 파일의 절대 경로 정보 및 시간 정보를 획득할 수 있다.At this time, the file execution analyzer 113 analyzes the history files and obtains the absolute path information and the time information of the original program and the file executed using the browser.

또한, 문서 뷰어 및 이미지 뷰어 프로그램 들은 최근 실행한 파일들의 기록을 레지스트리에 기록할 수 있다.Also, the document viewer and image viewer programs can record a record of recently executed files in the registry.

예를 들어, 한글, MS Office, alsee 등 프로그램들은 설치되는 중에 필요한 데이터들을 레지스트리에 기록할 수 있다.For example, programs such as Hangul, MS Office, and alsee can record necessary data in the registry during installation.

이 때, 파일실행 분석부(113)는 레지스트리에 기록된 파일 실행 이력들을 분석하여 실행된 파일들의 절대 경로 정보, 시간 정보 및 종류 정보를 획득할 수 있다.At this time, the file execution analyzer 113 may analyze the file execution histories recorded in the registry to obtain absolute path information, time information, and class information of the executed files.

사용 이력 식별부(120)는 이벤트 정보, 레지스트리 정보 및 파일들의 분석 결과들 중 어느 하나 이상에 기반하여 사용 이력을 식별할 수 있다.The usage history identification unit 120 may identify the usage history based on any one or more of the event information, the registry information, and the analysis results of the files.

이 때, 사용 이력 식별부(120)는 드라이브 문자열 정보와 연결 시간 정보 및 해제 시간 정보를 맵핑할 수 있다.At this time, the usage history identification unit 120 can map the drive string information, the connection time information, and the release time information.

이 때, 사용 이력 식별부(120)는 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반하여 프로그램 및 파일들의 절대 경로 및 시간 정보를 획득할 수 있다.At this time, the usage history identification unit 120 identifies the absolute path and time of the program and files based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry during the time when the mobile storage medium is connected to the computing device Information can be obtained.

이 때, 사용 이력 식별부(120)는 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 해제시간 정보에 기반하여 이동 저장 매체가 컴퓨팅 장치의 드라이브 문자열로 연결된 시간 동안에 상응하는 분석 결과들로부터 상기 사용 이력을 식별할 수 있다.At this time, the usage history identification unit 120 identifies the usage history from the corresponding analysis results during the time when the mobile storage medium is connected to the drive string of the computing device, based on the connection time information and the release time information mapped to the drive string information Can be identified.

링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반한 프로그램 및 파일들의 절대 경로 정보는 드라이브 문자열 정보를 포함할 수 있다.The absolute path information of the programs and files based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry may include the drive string information.

이 때, 사용 이력 식별부(120)는 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 해제 시간 정보에 기반한 시간 정보와, 링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반한 시간 정보를 비교하여 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 수행되었던 사용 이력을 식별할 수 있다.At this time, the usage history identification unit 120 identifies time information based on the connection time information and the release time information mapped to the drive string information, and based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry The time information may be compared to identify a usage history that was performed during the time the mobile storage medium is connected to the computing device.

이 때, 사용 이력 식별부(120)는 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 프로그램 및 파일들에 수행되었던 접근, 실행 및 수정 등에 상응하는 사용 이력을 식별할 수 있다.At this time, the usage history identification unit 120 may identify a usage history corresponding to the access, execution, and modification performed on the programs and files during the time when the mobile storage medium is connected to the computing device.

사용 이력 저장부(130)는 식별된 사용 이력을 열람 하기 위하여, 식별된 사용 이력을 저장할 수 있다.The usage history storage unit 130 may store the usage history that has been identified so as to browse the identified usage history.

이 때, 사용 이력 저장부(130)는 식별된 사용 이력을 드라이브 문자열 정보에 따라 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 프로그램 및 파일들에 수행되었던 사용 이력을 시간 정보에 기반하여 시간 순서대로 절대 경로 정보와 사용 이력의 종류(접근, 실행 및 수정 등)를 리스트화하여 저장할 수 있다.At this time, the usage history storage unit 130 stores the usage history that has been performed on the programs and files during the time when the removable storage medium is connected to the computing device, in accordance with the drive string information, The path information and the type of usage history (access, execution, modification, etc.) can be listed and stored.

이 때, 사용 이력 저장부(130)는 식별된 사용 이력을 열람할 수 있는 형식으로 저장할 수 있다.At this time, the usage history storage unit 130 may store the identified usage history in a format that can be read.

도 2는 본 발명의 일실시예에 따른 사용 이력 식별 방법을 나타낸 동작흐름도 이다.2 is a flowchart illustrating an operation history identifying method according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일실시예에 따른 사용 이력 식별 방법은 먼저 이벤트 정보를 분석할 수 있다(S210).Referring to FIG. 2, the usage history identification method according to an embodiment of the present invention may analyze event information (S210).

즉, 단계(S210)는 이동 저장 매체의 사용 이력에 관련된 이벤트 정보를 분석할 수 있다.That is, the step S210 may analyze the event information related to the usage history of the mobile storage medium.

컴퓨팅 장치는 외부 매체와의 통신을 위하여 시스템 이벤트를 발생시킬 수 있다. 시스템 이벤트들은 목적에 따라 이벤트 번호로 구분될 수 있고, 단계(S210)는 이벤트 번호에 기반하여 이동형 저장 매체와 관련된 이벤트 정보만을 별도로 추출될 수 있다.The computing device may generate a system event for communication with external media. System events can be divided into event numbers according to the purpose, and in step S210, only the event information related to the portable storage medium can be extracted separately based on the event number.

이 때, 단계(S210)는 이벤트 정보에서 이동 저장 매체를 식별하는 이동 저장 매체 식별자, 상기 이동 저장 매체와 컴퓨팅 장치의 연결 시간 정보 및 해제 시간 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the step S210 may acquire at least one of a mobile storage medium identifier identifying the mobile storage medium, connection time information of the mobile storage medium, connection time information of the computing device, and release time information in the event information.

이동 저장 매체 식별자는 이동 저장 매체를 식별할 수 있는 전역 고유 식별자(Globally Unique Identifier, GUID), 벤더 식별자(Vendor Identifier, VID), 프로덕트 식별자(Product Identifier, PID) 및 시리얼 넘버 중 어느 하나 이상에 상응할 수 있다.The mobile storage medium identifier corresponds to at least one of a Globally Unique Identifier (GUID), a Vendor Identifier (VID), a Product Identifier (PID), and a serial number that can identify a mobile storage medium can do.

또한, 단계(S210)는 이동형 저장 매체가 컴퓨팅 장치에 연결되거나 해제되는 순간 lifetime 값을 기록하여 연결 시간 정보 및 해제 시간 정보를 생성할 수 있다.In addition, step S210 may record the lifetime value at the moment when the removable storage medium is connected to or released from the computing device to generate connection time information and release time information.

lifetime 값은 이동 저장 매체가 컴퓨팅 장치에 연결될 경우, 컴퓨팅 장치가 이동 저장 매체를 구분하기 위한 값으로, 이동 저장 매체를 식별할 수 있는 전역 고유 식별자(Globally Unique Identifier, GUID에 상응할 수 있다.The lifetime value may correspond to a Globally Unique Identifier (GUID), which is a value for identifying a removable storage medium when the removable storage medium is connected to the computing device.

즉, 단계(S210)는 lifetime 값으로 이벤트들을 분류하고 분류된 이벤트 별로 이동 저장 매체와 컴퓨팅 장치가 연결될 때 발생한 이벤트 시간을 연결 시간 정보로 생성할 수 있고, 해제될 때 발생한 이벤트 시간을 해제 시간 정보로 생성할 수 있다.That is, in step S210, events are classified into lifetime values, and event times generated when the mobile storage medium and the computing device are connected are classified into connection time information for each classified event. Can be generated.

따라서, 단계(S210)는 lifetime 값에 상응하는 이벤트 별로 연결 시간 정보와 해제 시간 정보 쌍이 포함된 이벤트 정보를 통해 이동 저장 매체의 연결 시간을 확인할 수 있다.Accordingly, in step S210, the connection time of the mobile storage medium can be confirmed through the event information including the connection time information and the release time information pair for each event corresponding to the lifetime value.

이 때, 단계(S210)는 이동 저장 매체 식별자, 연결 시간 정보 및 해제 시간 정보 중 어느 하나 이상을 획득한 경우에만 단계(S220)로 진행할 수 있다.At this time, the step S210 may proceed to step S220 only if at least one of the mobile storage medium identifier, the connection time information and the release time information is acquired.

또한, 본 발명의 일실시예에 따른 사용 이력 식별 방법은 레지스트리 정보를 분석할 수 있다(S220).In addition, the usage history identification method according to an embodiment of the present invention may analyze the registry information (S220).

즉, 단계(S220)는 이벤트 정보의 분석 결과에 기반하여 레지스트리 정보를 분석할 수 있다.That is, the step S220 may analyze the registry information based on the analysis result of the event information.

컴퓨팅 장치는 외부 매체와의 통신을 위하여 관련된 데이터를 레지스트리에 기록할 수 있다. The computing device may write related data to the registry for communication with external media.

이 때, 단계(S220)는 이동 저장 매체 식별자를 이용하여 이동 저장 매체와 연결된 컴퓨팅 장치의 드라이브 문자열 정보를 확인할 수 있다.At this time, the step S220 can confirm the drive string information of the computing device connected to the mobile storage medium by using the mobile storage medium identifier.

이 때, 단계(S220)는 이동 저장 매체의 이동 저장 매체 식별자가 드라이브 문자열 정보에 일치하는 경우에만, 단계(S230)로 진행할 수 있다.In this case, the step S220 may proceed to step S230 only if the mobile storage medium identifier of the mobile storage medium matches the drive string information.

또한, 본 발명의 일실시예에 따른 사용 이력 식별 방법은 파일을 분석할 수 있다(S230).In addition, the usage history identification method according to an embodiment of the present invention may analyze the file (S230).

즉, 단계(S230)는 레지스트리 정보의 분석 결과에 기반하여 사용 이력에 관련된 파일들을 분석할 수 있다.That is, the step S230 may analyze the files related to the usage history based on the analysis result of the registry information.

이 때, 단계(S230)는 최근 실행 문서(recent) 폴더에 존재하는 링크 파일들, 브라우저의 사용 이력이 기록된 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들 중 어느 하나 이상을 분석할 수 있다.At this time, the step S230 may analyze one or more of the link files existing in the recent execution folder (recent folder), the history files in which the browser usage history is recorded, and the file execution histories recorded in the registry .

즉, 단계(S230)는 먼저 링크 파일을 분석할 수 있다(S231).That is, the step S230 may analyze the link file (S231).

컴퓨팅 장치는 사용자의 편의를 위해서 최근에 실행하였던 프로그램 및 파일과 관련된 정보를 최근 실행 문서 폴더에 링크 파일을 생성할 수 있다. 링크 파일은 원본 프로그램 및 파일들의 정보를 포함할 수 있다.The computing device can generate a link file in a recently executed document folder with information related to programs and files that have recently been executed for the convenience of the user. The link file may contain information of the original program and files.

예를 들어, windows 운영체제 에서는 windows 실행 창에 recent 입력으로 최근 실행된 파일들의 링크 파일들을 확인할 수 있다.For example, in the windows operating system, you can see the link files of recently executed files as recent input in the windows execution window.

이 때, 단계(S231)는 링크 파일들을 분석하여 원본 프로그램, 파일의 절대 경로 정보 및 파일의 시간 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the step S231 analyzes the link files to obtain at least one of the original program, the absolute path information of the file, and the time information of the file.

절대 경로 정보는 파일이 위치한 폴더의 경로에 관한 정보에 상응할 수 있다.The absolute path information may correspond to information about the path of the folder where the file is located.

파일의 시간 정보는 파일의 사용 이력에 관한 정보에 상응할 수 있다.The time information of the file may correspond to the information on the usage history of the file.

또한, 단계(S230)는 히스토리 파일들을 분석할 수 있다(S232).In addition, the step S230 may analyze the history files (S232).

컴퓨팅 장치의 브라우저는 사용자들이 이용하였던 웹 서비스의 URL 주소, URL 주소별 이용시간 정보, 브라우저를 이용하여 실행한 문서 파일 정보 및 이미지 파일 정보를 히스토리 파일들에 기록할 수 있다.The browser of the computing device may record the URL address of the web service used by the users, the usage time information of each URL address, the document file information executed by using the browser, and the image file information in the history files.

즉, 단계(S232)는 히스토리 파일들을 분석하여 웹 서비스의 URL 주소, 상기 URL 주소별 이용 시간 정보, 브라우저를 이용하여 실행한 문서 파일 정보 및 이미지 파일 정보 중 어느 하나 이상을 획득할 수 있다(S232).That is, in step S232, the history files are analyzed to obtain at least one of the URL address of the web service, the usage time information per URL address, the document file information executed using the browser, and the image file information (S232 ).

이 때, 단계(S232)는 히스토리 파일들을 분석하여 브라우저를 이용하여 실행한 파일들의 절대 경로 정보 및 시간 정보를 획득할 수 있다.At this time, the step S232 can analyze the history files and obtain the absolute path information and the time information of the files executed using the browser.

또한, 단계(S230)는 레지스트리에 기록된 파일 실행 이력들을 분석할 수 있다(S233).In addition, the step S230 may analyze the file execution histories recorded in the registry (S233).

즉, 단계(S233)는 레지스트리에 기록된 파일 실행 이력들을 분석하여 실행된 파일들의 절대 경로 정보, 시간 정보 및 종류 정보를 획득할 수 있다.That is, the step S233 may analyze the file execution histories recorded in the registry to obtain the absolute path information, the time information, and the type information of the executed files.

이 때, 단계(S231) 내지 단계(S233)의 수행 순서는 바뀔 수도 있고, 동시에 이루어질 수도 있다.At this time, the procedure of steps S231 to S233 may be changed or may be performed simultaneously.

또한, 본 발명의 일실시예에 따른 사용 이력 식별 방법은 사용 이력을 식별할 수 있다(S240).In addition, the use history identifying method according to an embodiment of the present invention can identify the use history (S240).

즉, 단계(S240)는 이벤트 정보, 레지스트리 정보 및 파일들의 분석 결과들 중 어느 하나 이상에 기반하여 사용 이력을 식별할 수 있다.That is, the step S240 may identify the usage history based on one or more of the event information, the registry information, and the analysis results of the files.

이 때, 단계(S240)는 먼저 드라이브 문자열 정보와 시간 정보를 맵핑할 수 있다(S241).At this time, in step S240, the drive string information and the time information may be mapped first (S241).

즉, 단계(S241)는 드라이브 문자열 정보와 연결 시간 정보 및 해제 시간 정보를 맵핑하여 컴퓨팅 장치의 드라이브 문자열에 이동 저장 매체가 연결된 시간 정보를 생성할 수 있다.That is, the step S241 may generate the time information to which the mobile storage medium is connected to the drive string of the computing device by mapping the drive string information, the connection time information, and the release time information.

또한, 단계(S240)는 연결된 시간 동안의 파일 정보를 분석할 수 있다(S242).In addition, the step S240 may analyze the file information for the connected time (S242).

즉, 단계(S242)는 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반하여 프로그램 및 파일들의 절대 경로 및 시간 정보를 획득할 수 있다.That is, step S242 acquires the absolute path and time information of the program and files based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry during the time when the mobile storage medium is connected to the computing device .

또한, 단계(S240)는 분석 결과에 기반하여 사용 이력을 식별할 수 있다(S243).In addition, the step S240 can identify the use history based on the analysis result (S243).

즉, 단계(S243)는 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 해제시간 정보에 기반하여 이동 저장 매체가 컴퓨팅 장치의 드라이브 문자열로 연결된 시간 동안에 상응하는 분석 결과들로부터 상기 사용 이력을 식별할 수 있다.That is, step S243 may identify the usage history from the corresponding analysis results during the time when the mobile storage medium is connected to the drive string of the computing device, based on the connection time information and the release time information mapped to the drive string information .

링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반한 프로그램 및 파일들의 절대 경로 정보는 드라이브 문자열 정보를 포함할 수 있다.The absolute path information of the programs and files based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry may include the drive string information.

이 때, 단계(S243)는 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 해제 시간 정보에 기반한 시간 정보와, 링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반한 시간 정보를 비교하여 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 수행되었던 사용 이력을 식별할 수 있다.At this time, in step S243, the time information based on the connection time information and the release time information mapped to the drive string information, and the time information based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry And may compare the usage history that was performed during the time when the mobile storage medium is connected to the computing device.

이 때, 단계(S243)는 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 프로그램 및 파일들에 수행되었던 접근, 실행 및 수정 등에 상응하는 사용 이력을 식별할 수 있다.At this time, step S243 may identify a usage history corresponding to the access, execution, and modification performed on the programs and files during the time when the mobile storage medium is connected to the computing device.

이 때, 단계(S243)는 링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반한 시간 정보를 비교하여 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 수행되었던 사용 이력이 식별된 경우에만 단계(S250)로 진행할 수 있다.At this time, the step S243 compares the time information based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry, and notifies the computing device of the usage history that was performed during the time when the mobile storage medium is connected The process can proceed to step S250.

또한, 본 발명의 일실시예에 따른 사용 이력 식별 방법은 사용 이력을 저장할 수 있다(S250).In addition, the usage history identification method according to an embodiment of the present invention may store the usage history (S250).

즉, 단계(S250)는 식별된 사용 이력을 열람 하기 위하여, 식별된 사용 이력을 저장할 수 있다.That is, step S250 may store the identified usage history to view the identified usage history.

이 때, 단계(S250)는 식별된 사용 이력을 드라이브 문자열 정보에 따라 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 프로그램 및 파일들에 수행되었던 사용 이력을 시간 정보에 기반하여 시간 순서대로 절대 경로 정보와 사용 이력의 종류(접근, 실행 및 수정 등)를 리스트화하여 저장할 수 있다.At this time, in step S250, the history of use, which has been performed on the program and files during the time when the removable storage medium is connected to the computing device, may be used as the absolute path information in chronological order based on the time information, The types of usage histories (access, execution, modification, etc.) can be listed and stored.

이 때, 단계(S250)는 식별된 사용 이력을 열람할 수 있는 형식으로 저장할 수 있다.At this time, the step S250 can store the identified use history in a format that can be read.

도 3은 도 2에 도시된 파일 분석 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.FIG. 3 is an operation flowchart illustrating an example of the file analysis step shown in FIG. 2 in detail.

도 3을 참조하면, 단계(S230)는 먼저 링크 파일을 분석할 수 있다(S231).Referring to FIG. 3, step S230 may first analyze the link file (S231).

컴퓨팅 장치는 사용자의 편의를 위해서 최근에 실행하였던 프로그램 및 파일과 관련된 정보를 최근 실행 문서 폴더에 링크 파일을 생성할 수 있다. 링크 파일은 원본 프로그램 및 파일들의 정보를 포함할 수 있다.The computing device can generate a link file in a recently executed document folder with information related to programs and files that have recently been executed for the convenience of the user. The link file may contain information of the original program and files.

예를 들어, windows 운영체제 에서는 windows 실행 창에 recent 입력으로 최근 실행된 파일들의 링크 파일들을 확인할 수 있다.For example, in the windows operating system, you can see the link files of recently executed files as recent input in the windows execution window.

이 때, 단계(S231)는 링크 파일들을 분석하여 원본 프로그램, 파일의 절대 경로 정보 및 파일의 시간 정보 중 어느 하나 이상을 획득할 수 있다.At this time, the step S231 analyzes the link files to obtain at least one of the original program, the absolute path information of the file, and the time information of the file.

절대 경로 정보는 파일이 위치한 폴더의 경로에 관한 정보에 상응할 수 있다.The absolute path information may correspond to information about the path of the folder where the file is located.

파일의 시간 정보는 파일의 사용 이력에 관한 정보에 상응할 수 있다.The time information of the file may correspond to the information on the usage history of the file.

또한, 단계(S230)는 히스토리 파일들을 분석할 수 있다(S232).In addition, the step S230 may analyze the history files (S232).

컴퓨팅 장치의 브라우저는 사용자들이 이용하였던 웹 서비스의 URL 주소, URL 주소별 이용시간 정보, 브라우저를 이용하여 실행한 문서 파일 정보 및 이미지 파일 정보를 히스토리 파일들에 기록할 수 있다.The browser of the computing device may record the URL address of the web service used by the users, the usage time information of each URL address, the document file information executed by using the browser, and the image file information in the history files.

즉, 단계(S232)는 히스토리 파일들을 분석하여 웹 서비스의 URL 주소, 상기 URL 주소별 이용 시간 정보, 브라우저를 이용하여 실행한 문서 파일 정보 및 이미지 파일 정보 중 어느 하나 이상을 획득할 수 있다(S232).That is, in step S232, the history files are analyzed to obtain at least one of the URL address of the web service, the usage time information per URL address, the document file information executed using the browser, and the image file information (S232 ).

이 때, 단계(S232)는 히스토리 파일들을 분석하여 브라우저를 이용하여 실행한 파일들의 절대 경로 정보 및 시간 정보를 획득할 수 있다.At this time, the step S232 can analyze the history files and obtain the absolute path information and the time information of the files executed using the browser.

또한, 단계(S230)는 레지스트리에 기록된 파일 실행 이력들을 분석할 수 있다(S233).In addition, the step S230 may analyze the file execution histories recorded in the registry (S233).

즉, 단계(S233)는 레지스트리에 기록된 파일 실행 이력들을 분석하여 실행된 파일들의 절대 경로 정보, 시간 정보 및 종류 정보를 획득할 수 있다.That is, the step S233 may analyze the file execution histories recorded in the registry to obtain the absolute path information, the time information, and the type information of the executed files.

이 때, 단계(S231) 내지 단계(S233)의 수행 순서는 바뀔 수도 있고, 동시에 이루어질 수도 있다.At this time, the procedure of steps S231 to S233 may be changed or may be performed simultaneously.

도 4는 도 2에 도시된 사용 이력 식별 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.FIG. 4 is an operation flowchart showing an example of the use history identifying step shown in FIG. 2 in detail.

도 4를 참조하면, 단계(S240)는 먼저 드라이브 문자열 정보와 시간 정보를 맵핑할 수 있다(S241).Referring to FIG. 4, in operation S240, the drive string information and time information may be mapped first (S241).

즉, 단계(S241)는 드라이브 문자열 정보와 연결 시간 정보 및 해제 시간 정보를 맵핑하여 컴퓨팅 장치의 드라이브 문자열에 이동 저장 매체가 연결된 시간 정보를 생성할 수 있다.That is, the step S241 may generate the time information to which the mobile storage medium is connected to the drive string of the computing device by mapping the drive string information, the connection time information, and the release time information.

또한, 단계(S240)는 연결된 시간 동안의 파일 정보를 분석할 수 있다(S242).In addition, the step S240 may analyze the file information for the connected time (S242).

즉, 단계(S242)는 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반하여 프로그램 및 파일들의 절대 경로 및 시간 정보를 획득할 수 있다.That is, step S242 acquires the absolute path and time information of the program and files based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry during the time when the mobile storage medium is connected to the computing device .

또한, 단계(S240)는 분석 결과에 기반하여 사용 이력을 식별할 수 있다(S243).In addition, the step S240 can identify the use history based on the analysis result (S243).

즉, 단계(S243)는 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 해제시간 정보에 기반하여 이동 저장 매체가 컴퓨팅 장치의 드라이브 문자열로 연결된 시간 동안에 상응하는 분석 결과들로부터 상기 사용 이력을 식별할 수 있다.That is, step S243 may identify the usage history from the corresponding analysis results during the time when the mobile storage medium is connected to the drive string of the computing device, based on the connection time information and the release time information mapped to the drive string information .

링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반한 프로그램 및 파일들의 절대 경로 정보는 드라이브 문자열 정보를 포함할 수 있다.The absolute path information of the programs and files based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry may include the drive string information.

이 때, 단계(S243)는 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 해제 시간 정보에 기반한 시간 정보와, 링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반한 시간 정보를 비교하여 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 수행되었던 사용 이력을 식별할 수 있다.At this time, in step S243, the time information based on the connection time information and the release time information mapped to the drive string information, and the time information based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry And may compare the usage history that was performed during the time when the mobile storage medium is connected to the computing device.

이 때, 단계(S243)는 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 프로그램 및 파일들에 수행되었던 접근, 실행 및 수정 등에 상응하는 사용 이력을 식별할 수 있다.At this time, step S243 may identify a usage history corresponding to the access, execution, and modification performed on the programs and files during the time when the mobile storage medium is connected to the computing device.

이 때, 단계(S243)는 링크 파일들, 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들의 분석 결과에 기반한 시간 정보를 비교하여 컴퓨팅 장치에 이동 저장 매체가 연결된 시간 동안 수행되었던 사용 이력이 식별된 경우에만 단계(S250)로 진행할 수 있다.At this time, the step S243 compares the time information based on the analysis results of the link files, the history files, and the file execution histories recorded in the registry, and notifies the computing device of the usage history that was performed during the time when the mobile storage medium is connected The process can proceed to step S250.

도 5는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.5 is a block diagram illustrating a computer system in accordance with one embodiment of the present invention.

도 5을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 5에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 입력 장치(1140), 사용자 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.Referring to FIG. 5, embodiments of the present invention may be implemented in a computer system 1100, such as a computer-readable recording medium. 5, a computer system 1100 includes one or more processors 1110, a memory 1130, a user input device 1140, a user output device 1150, and a storage 1150, which communicate with one another via a bus 1120. [ (1160). In addition, the computer system 1100 may further include a network interface 1170 connected to the network 1180. Processor 1110 may be a central processing unit or a semiconductor device that executes memory 1130 or processing instructions stored in storage 1160. Memory 1130 and storage 1160 can be various types of volatile or non-volatile storage media. For example, the memory may include ROM 1131 or RAM 1132.

이상에서와 같이 본 발명에 따른 이동 저장 매체의 사용 이력 식별 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the use history identifying apparatus and method according to the present invention are not limited to the configuration and method of the embodiments described above, but the embodiments may be modified in various ways All or some of the embodiments may be selectively combined.

110: 사용 이력 분석부 111: 이벤트 정보 분석부
112: 레지스트리 정보 분석부 113: 파일실행 분석부
120: 사용 이력 식별부 130: 사용 이력 저장부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 입력 장치 1150: 사용자 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크110: use history analyzing unit 111: event information analyzing unit
112: Registry information analysis unit 113: File execution analysis unit
120: use history identification unit 130: use history storage unit
1100: Computer system 1110: Processor
1120: bus 1130: memory
1131: ROM 1132: RAM
1140: User input device 1150: User output device
1160: Storage 1170: Network Interface
1180: Network

Claims (20)

이동 저장 매체의 사용 이력에 관련된 이벤트 정보를 분석하는 이벤트 정보 분석부;
상기 이벤트 정보의 분석 결과에 기반하여 레지스트리 정보를 분석하는 레지스트리 정보 분석부;
상기 레지스트리 정보의 분석 결과에 기반하여 상기 사용 이력에 관련된 파일들을 분석하는 파일실행 분석부;
상기 이벤트 정보, 상기 레지스트리 정보 및 상기 파일들의 분석 결과들 중 어느 하나 이상에 기반하여 상기 사용 이력을 식별하는 사용 이력 식별부; 및
식별된 사용 이력을 열람 하기 위하여, 상기 식별된 사용 이력을 저장하는 사용 이력 저장부;
를 포함하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.An event information analyzer for analyzing event information related to a use history of the mobile storage medium;
A registry information analyzer for analyzing registry information based on an analysis result of the event information;
A file execution analyzer for analyzing files related to the usage history based on an analysis result of the registry information;
A usage history identification unit for identifying the usage history based on at least one of the event information, the registry information, and analysis results of the files; And
A usage history storing unit for storing the usage history to identify the usage history;
Wherein the use history identifying unit determines the usage history of the mobile storage medium. 삭제delete 청구항 1에 있어서,
상기 이벤트 정보 분석부는
상기 이벤트 정보에서 상기 이동 저장 매체를 식별하는 이동 저장 매체 식별자, 상기 이동 저장 매체와 컴퓨팅 장치의 연결 시간 정보 및 해제 시간 정보 중 어느 하나 이상을 획득하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.The method according to claim 1,
The event information analyzing unit
Acquiring at least one of a mobile storage medium identifier identifying the mobile storage medium, connection time information of the mobile storage medium and connection time information of the computing device, and release time information from the event information, . 청구항 3에 있어서,
상기 이동 저장 매체 식별자는
상기 이동 저장 매체를 식별할 수 있는 전역 고유 식별자(Globally Unique Identifier, GUID), 벤더 식별자(Vendor Identifier, VID), 프로덕트 식별자(Product Identifier, PID) 및 시리얼 넘버 중 어느 하나 이상에 상응하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.The method of claim 3,
The mobile storage medium identifier
(VID), a product identifier (PID), and a serial number, which are capable of identifying the mobile storage medium, and a globally unique identifier (GUID) The history of the use of the portable storage medium. 청구항 4에 있어서,
상기 레지스트리 정보 분석부는
상기 이동 저장 매체 식별자에 기반하여 상기 레지스트리 정보를 분석하여 상기 이동 저장 매체와 연결된 상기 컴퓨팅 장치의 드라이브 문자열 정보를 확인하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.The method of claim 4,
The registry information analysis unit
And analyzes the registry information based on the removable storage medium identifier to identify the drive string information of the computing device connected to the removable storage medium. 청구항 5에 있어서,
상기 파일실행 분석부는
상기 컴퓨팅 장치의 최근 실행 문서(recent) 폴더에 존재하는 링크 파일들, 브라우저의 사용 이력이 기록된 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들 중 어느 하나 이상을 분석하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.The method of claim 5,
The file execution analysis unit
And analyzing at least one of the link files existing in the recent execution folder of the computing device, the history files in which the browser usage history is recorded, and the file execution histories recorded in the registry. Media usage history identification device. 청구항 6에 있어서,
상기 파일실행 분석부는
상기 링크 파일들을 분석하여 원본 프로그램, 파일의 절대 경로 정보 및 파일의 시간 정보 중 어느 하나 이상을 획득하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.The method of claim 6,
The file execution analysis unit
And analyzing the link files to obtain at least one of an original program, absolute path information of a file, and time information of a file. 청구항 7에 있어서,
상기 파일실행 분석부는
상기 히스토리 파일들을 분석하여 웹 서비스의 URL 주소, 상기 URL 주소별 이용 시간 정보, 상기 브라우저를 이용하여 실행한 문서 파일 정보 및 이미지 파일 정보 중 어느 하나 이상을 획득하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.The method of claim 7,
The file execution analysis unit
Analyzing the history files to obtain at least one of a URL address of the web service, usage time information per URL address, document file information executed using the browser, and image file information. History identification device. 청구항 8에 있어서,
상기 사용 이력 식별부는
상기 드라이브 문자열 정보와 상기 연결 시간 정보 및 상기 해제 시간 정보를 맵핑하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.The method of claim 8,
The usage history identification unit
And mapping the drive string information, the connection time information, and the release time information. 청구항 9에 있어서,
상기 사용 이력 식별부는
상기 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 상기 해제시간 정보에 기반하여 상기 이동 저장 매체가 상기 컴퓨팅 장치의 상기 드라이브 문자열로 연결된 시간 동안에 상응하는 상기 분석 결과들로부터 상기 사용 이력을 식별하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 장치.The method of claim 9,
The usage history identification unit
And identifies the usage history from the corresponding analysis results during the time when the removable storage medium is connected to the drive string of the computing device based on the connection time information mapped to the drive string information and the release time information. The history of the use of the portable storage medium. 이동 저장 매체의 사용 이력 식별 장치를 이용하는 방법에 있어서,
상기 이동 저장 매체의 사용 이력에 관련된 이벤트 정보를 분석하는 단계;
상기 이벤트 정보의 분석 결과에 기반하여 레지스트리 정보를 분석하는 단계;
상기 레지스트리 정보의 분석 결과에 기반하여 상기 사용 이력에 관련된 파일들을 분석하는 단계;
상기 이벤트 정보, 상기 레지스트리 정보 및 상기 파일들의 분석 결과 들 중 어느 하나 이상에 기반하여 상기 사용 이력을 식별하는 단계; 및
식별된 사용 이력을 열람 하기 위하여, 상기 식별된 사용 이력을 저장하는 단계;
를 포함하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.A method of using a use history identifying device of a mobile storage medium,
Analyzing event information related to the use history of the mobile storage medium;
Analyzing the registry information based on the analysis result of the event information;
Analyzing files related to the usage history based on an analysis result of the registry information;
Identifying the usage history based on at least one of the event information, the registry information, and analysis results of the files; And
Storing the identified usage history to browse the identified usage history;
Wherein the usage history of the mobile storage medium is stored in the storage medium. 삭제delete 청구항 11에 있어서,
상기 이벤트 정보를 분석하는 단계는
상기 이벤트 정보에서 상기 이동 저장 매체를 식별하는 이동 저장 매체 식별자, 상기 이동 저장 매체와 컴퓨팅 장치의 연결 시간 정보 및 해제 시간 정보 중 어느 하나 이상을 획득하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.The method of claim 11,
The step of analyzing the event information
Wherein the event information acquiring unit acquires at least one of a mobile storage medium identifier identifying the mobile storage medium and connection time information and release time information of the mobile storage medium and the computing device in the event information, . 청구항 13에 있어서,
상기 이동 저장 매체 식별자는
상기 이동 저장 매체를 식별할 수 있는 전역 고유 식별자(Globally Unique Identifier, GUID), 벤더 식별자(Vendor Identifier, VID), 프로덕트 식별자(Product Identifier, PID) 및 시리얼 넘버 중 어느 하나 이상에 상응하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.14. The method of claim 13,
The mobile storage medium identifier
(VID), a product identifier (PID), and a serial number, which are capable of identifying the mobile storage medium, and a globally unique identifier (GUID) A history of use of the removable storage medium. 청구항 14에 있어서,
상기 레지스트리 정보를 분석하는 단계는
상기 이동 저장 매체 식별자에 기반하여 상기 레지스트리 정보를 분석하여 상기 이동 저장 매체와 연결된 상기 컴퓨팅 장치의 드라이브 문자열 정보를 확인하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.15. The method of claim 14,
The step of analyzing the registry information
And analyzing the registry information based on the mobile storage medium identifier to identify the drive string information of the computing device connected to the mobile storage medium. 청구항 15에 있어서,
상기 파일들을 분석하는 단계는
상기 컴퓨팅 장치의 최근 실행 문서(recent) 폴더에 존재하는 링크 파일들, 브라우저의 사용 이력이 기록된 히스토리 파일들 및 레지스트리에 기록된 파일 실행 이력들 중 어느 하나 이상을 분석하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.16. The method of claim 15,
The step of analyzing the files
And analyzing at least one of the link files existing in the recent execution folder of the computing device, the history files in which the browser usage history is recorded, and the file execution histories recorded in the registry. How to identify the usage history of media. 청구항 16에 있어서,
상기 파일들을 분석하는 단계는
상기 링크 파일들을 분석하여 원본 프로그램, 파일의 절대 경로 정보 및 파일의 시간 정보 중 어느 하나 이상을 획득하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.18. The method of claim 16,
The step of analyzing the files
And analyzing the link files to obtain at least one of an original program, absolute path information of a file, and time information of a file. 청구항 17에 있어서,
상기 파일들을 분석하는 단계는
상기 히스토리 파일들을 분석하여 웹 서비스의 URL 주소, 상기 URL 주소별 이용 시간 정보, 상기 브라우저를 이용하여 실행한 문서 파일 정보 및 이미지 파일 정보 중 어느 하나 이상을 획득하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.18. The method of claim 17,
The step of analyzing the files
Analyzing the history files to obtain at least one of a URL address of the web service, usage time information per URL address, document file information executed using the browser, and image file information. History identification method. 청구항 18에 있어서,
상기 식별하는 단계는
상기 드라이브 문자열 정보와 상기 연결 시간 정보 및 상기 해제 시간 정보를 맵핑하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.19. The method of claim 18,
The step of identifying
And mapping the drive string information to the connection time information and the release time information. 청구항 19에 있어서,
상기 식별하는 단계는
상기 드라이브 문자열 정보에 맵핑된 연결 시간 정보 및 상기 해제시간 정보에 기반하여 상기 드라이브 문자열로 상기 이동 저장 매체가 연결된 시간 동안에 상응하는 상기 분석 결과들부터 상기 사용 이력을 식별하는 것을 특징으로 하는 이동 저장 매체의 사용 이력 식별 방법.The method of claim 19,
The step of identifying
And identifies the usage history from the corresponding analysis results during a time when the removable storage medium is connected to the drive string based on the connection time information mapped to the drive string information and the release time information. To identify the use history of the.
KR1020160074993A 2016-06-16 2016-06-16 Apparatus for identifying work history of removable storage media and method using the same KR101871407B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160074993A KR101871407B1 (en) 2016-06-16 2016-06-16 Apparatus for identifying work history of removable storage media and method using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160074993A KR101871407B1 (en) 2016-06-16 2016-06-16 Apparatus for identifying work history of removable storage media and method using the same

Publications (2)

Publication Number Publication Date
KR20170141940A KR20170141940A (en) 2017-12-27
KR101871407B1 true KR101871407B1 (en) 2018-06-26

Family

ID=60938894

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160074993A KR101871407B1 (en) 2016-06-16 2016-06-16 Apparatus for identifying work history of removable storage media and method using the same

Country Status (1)

Country Link
KR (1) KR101871407B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030163719A1 (en) * 2002-02-26 2003-08-28 Fujitsu Limited Removable disk device with identification information
KR101078288B1 (en) * 2009-08-21 2011-10-31 한국전자통신연구원 Method and apparatus for collecting evidence

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120065819A (en) * 2010-12-13 2012-06-21 한국전자통신연구원 Digital forensic apparatus for analyzing the user activities and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030163719A1 (en) * 2002-02-26 2003-08-28 Fujitsu Limited Removable disk device with identification information
KR101078288B1 (en) * 2009-08-21 2011-10-31 한국전자통신연구원 Method and apparatus for collecting evidence

Also Published As

Publication number Publication date
KR20170141940A (en) 2017-12-27

Similar Documents

Publication Publication Date Title
Guarino Digital forensics as a big data challenge
US20150047034A1 (en) Composite analysis of executable content across enterprise network
US20140082001A1 (en) Digital forensic audit system for analyzing user's behaviors
Bashir et al. Triage in live digital forensic analysis
TWI528218B (en) Method for discriminating sensitive data and data loss prevention system using the method
JP7024720B2 (en) Malware analysis device, malware analysis method, and malware analysis program
CN106844185A (en) The storage method and device of a kind of journal file
CN104252447A (en) File behavior analysis method and device
CN102779029A (en) Method and device for scrambling JavaScript code
KR100961179B1 (en) Apparatus and Method for digital forensic
JP2022100232A (en) System and method for over-time cross reference of forensic snap shot for root cause analysis
KR101871407B1 (en) Apparatus for identifying work history of removable storage media and method using the same
Sali et al. Ram forensics: The analysis and extraction of malicious processes from memory image using gui based memory forensic toolkit
CN111241547A (en) Detection method, device and system for unauthorized vulnerability
CN115098877A (en) File encryption and decryption method and device, electronic equipment and medium
Rahman et al. Digital forensics through application behavior analysis
Joo et al. A reference database of Windows artifacts for file‐wiping tool execution analysis
Shayau et al. Digital forensics investigation reduction model (DIFReM) framework for Windows 10 OS
CN111143291A (en) Encrypted file searching method and device and electronic equipment
Bhatia et al. CFRF: cloud forensic readiness framework–A dependable framework for forensic readiness in cloud computing environment
KR102294926B1 (en) Automated system for forming analyzed data by extracting original data
Kävrestad et al. Collecting Data
Kavallaris et al. On the detection of pod slurping attacks
KR101955196B1 (en) Portable information analysis apparatusand method for analyzing data using the same
Dija et al. Forensic reconstruction of executables from Windows 7 physical memory

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant