[디지털 포렌식] - PC 절전 모드 행위(2)

PC환경

windows 10 pro, 1909

 

그렇다면 PC 절전모드에 대해서 알아보았다. 그러면 사용자가 사용을 하지 않아서 절전모드가 된 것인지 혹은 사용자가 직접 절전모드를 눌러서 전환이 되었는지, 노트북 경우 뚜겅을 닫아서 절전모드로 전환되었는지를 알아보도록 한다.

추가로 최대 절전모드 (Hibernate) 레지스트리 경로는 다음 아래의 경로에 있다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power

CASE1 - 사용자가 절전모드 혹은 최대 절전모드를 직접 누를 때

---

절전 모드 전환에는 또 두 가지 경우로 나뉜다. 시작버튼에서 절전모드 하는 방식과 흔히 ALT-F4를 눌러서 절전모드를 누르는 경우이다. 실험 PC에서는 같은 로그를 띄웠다. 사용자가 직접 절전모드를 눌렀을 때는 다음과 같은 로그가 발생한다. ( 추후 더 다양한 환경에서 해볼 예정 )

아래는 최대 절전모드를 사용자가 직접 누를 때 나타나는 로그이다. TargetState, EffectiveState값이 5로 설정되어있다.

 

CASE2 - 사용자가 PC를 사용하지 않아서 절전모드 혹은
최대 절전모드로 전환될 때

---

사용자의 PC 미사용으로 인한 절전모드 전환이다. TargetState, Effective 값은 4로 고정이며, Reason은 7로 표시된다.

<최대 절전모드 추후 게시>

CASE3 - 노트북 경우 화면을 닫는 경우

---

노트북 뚜껑을 닫는 경우 다음과 같은 로그가 발생한다. TargetState, EffectiveState값이 4, Reason은 0으로 표시된다.
아래 로그는 일반 절전 모드일 때 뚜껑을 닫은 로그이다.

다음 아래 로그는 최대 절전 모드 설정 후 뚜껑을 닫아보았다. TargetState, EffectiveState값이 달라졌다.

 

CASE4 - 그 외

---

TargetState 값이 6, EffectiveState 값이 5, Reason이 4일 때의 경우도 나오는데 아직 정보가 확실하지 않다. 하지만 확실한건 사용자가 절전모드를 누르지 않고 생긴 로그이다. 추후 분석요함.

 

좋은 정보가 있거나 수정할 부분 있으면 댓글 바랍니다.