dotaky99

아래는 메일의 일부만을 발췌하였다.

Delivered-To: ttt@abvqwe.com
Received: by 2002:ac9:12d2:0:0:0:0:0 with SMTP id x18csp3607364ocb;
        Tue, 12 Jan 2021 10:38:28 -0800 (PST)
X-Google-Smtp-Source: ABdhPJzOLqOXZKqySQ+F1WB8tRf1WtVIDQACK2A+LRFbLeuyR6MCcL7FTE+1gmSAgqwQ810bvNhP
X-Received: by 2002:a05:620a:69c:: with SMTP id f28mr696680qkh.127.1610476708763;
        Tue, 12 Jan 2021 10:38:28 -0800 (PST)
ARC-Seal: i=2; a=rsa-sha256; t=1610476708; cv=pass;
        d=google.com; s=arc-20160816;
        b=Av6Q7nII0G56Fh42BrkbYp3P5Vp51hU+4d5YoWgTsZHU4OUXwQKfzHwcR6C017JB0K
         0Vfe6Go00pVut33dqgpKMz5mdhlBRHf0VYvh/s14ZSnjVZesTWSclQ8ZWetwXrVq1ufq
         ikwy0x7E7ucjmfEj2NAAu46iUhVvTlCSNBMibNEQHImGhUGSZNEHsOVYDuaBqfL1b1Ba
         cfk0HLzyULJN4j4Bs6TRQwXZHKK/BoyN9ZAplroiD0ASCoa4oqHJ4aTIYGviTWypiP3A
         aO4wSBFaJozzfijc83y3PkAJ9INYv9Kars4v5U+qNS+ucfIX/f5ZoLF2PnOdJdmIAZy/
         cGCg==
ARC-Message-Signature: i=2; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=mime-version:content-language:accept-language:message-id:date
         :thread-index:thread-topic:subject:to:from;
        bh=RZLb55l8fV6GH5Q3UAtqs9kR/bHWLorQrqk/keR2zPs=;
        b=bmdqbc4UZJPaj9W2p7VpkCzdj0PLyexrbDptuwcPAjvhmhkHSVp2h4gKYG87IhtKu5
         5hLb4sbPMFcs8dIg4rd1HiPDhyV1VpjkfzWJw3/vH47PdWxaxR6fyyyToIEXSBIDGt0g
         0raQ5krdR+W5RVpN8kVEMXGKkP87Jmxh1t2dcivTrYMQu301SI11OuqNww1XLvSzqMpi
         pRbmDSvCulQ5salG2o3UUPxSC1XtUPxlX9aCTwl6F3GUqZJ4U00XtRtbcc0ekkGgSGY0
         Di8ol+alJxGxaWXrsyAe2M/8vaMf6jHZ4MYNMrOvyfDPVipLlZo6H8QylSN49HrRLYIf
         0SbA==

Received : 메일이 전송된 경로를 뜻하는 것으로 제일 중요하다고 볼 수 있다. Received가 여러개 보일 시에는 맨 아래가 처음 메일을 발송한 곳이다.
Received from (1) by (2) with (3) id (4) for (5); (6)(1) : 메일을 발송하는 서버의 주소 또는 호스트이름을 명시하는 부분. 제일 처음 발송하는 부분이 될 수도 있고, Received가 여러 개일 때는 경유지일 때도 있다.
(2) : 해당 메일을 받는 서버의 호스트 이름이나 주소
(3) : 메일 프로토콜
(4) : 해당 메일이 발송되는 서버나 수신되는 서버에서 해당 메일이 구분되어질 수 있는 고유한 식별자
(5) : 수신 받는 사용자의 이메일 주소
(6) : 해당 메일이 수신된 날짜와 시간
Reply-To : 수신자가 회신 했을 때 누구에게 발송될 것인지 지정 ( 보통은 발신자의 메일주소가 자동입력 )
From : 발신자의 메일 주소(위조 가능성 있음)
To : 메일의 수신자(이 역시 위조 가능)

PC(데스크톱, 노트북)의 종료 방법은 크게 세 가지 경우로 나뉜다.

1. 완전 종료
2. 절전 모드 종료
3. 최대 절전 모드 종료
4. 하이브리드 절전 모드 종료
(다시시작은 종료 후 PC시작되므로 예외)

여기서 중점적으로 볼 것은 2번에서 4번이다. 절전모드 또한 사용자의 다양한 행위를 증명하는 용도로 사용된다. 그럼 기본적으로 분석 하기에 앞서 절전모드, 최대 절전모드, 하이브리드 절전모드 서로는 어떠한 차이점이 있는지 알아보자.

절전 모드

전력 소모가 거의 없고 PC속도가 빠르며 종료한 부분에서 즉시 이어서 작업할 수 있다. 배터리 잔량이 부족할 경우 Windows가 모든 작업을 자동 저장하고 PC를 종료하기 때문에 배터리 소모로 인한 작업 손실 없이 작업 수행이 가능하다. 또한, 전원 옵션에 설정된 시간에 의하여 사용하지 않을 때 절전모드로 전환되기도 한다. 비디오 재생시 일시정지와 같다. 노트북 및 태블릿 경우 덮개를 닫거나 전원 버튼을 닫으면 절전모드로 전환된다.

최대 절전 모드

hibernation 이라고 본 적이 있을 것이다. 윈도우 기본설정으로 최대 절전모드가 적용되어있어 PC가 제대로 종료되지 않고, 느려지며, 운영체제 설치된 파티션에 용량을 차지하는 경우가 있어 사용자 입장에서 불편함을 느끼기도 한다. 최대 절전 모드는 노트북용으로 설계가 되어있다. 최대 절전 모드에서는 절전 모드보다 더 적은 전원을 사용하며 PC를 다시시작할 때 종료된 부분으로 돌아가지만 속도면에서는 절전모드보다 느리다. 아래 사진의 경로에서 최대 절전 모드를 on/off 할 수 있다. 또한, cmd(명령 프롬프트)를 관리자로 실행하여 'powercfg.exe /hibernate off' 명령으로 최대 절전 모드를 해제할 수 있으며 마지막 인자 off를 on으로 바꾸면 최대 절전 모드를 켤 수 있다.

최대 절전모드를 사용하면 운영체제가 설치된 파티션 드라이브에 루트 폴더에 hiberfil.sys 라는 파일이 생성된다. 여기에 최대 절전 모드로 전환되기전에 작업한 내용들이 저장된다. 디지털 포렌식 관점에서 사용자가 어떤 행위를 했는지 분석이 가능하다. 이 파일이 없으면 최대 절전모드로 전환이 불가능하다. 작업과 설정을 메모리에 저장하는 절전모드와 달리 데이터를 파일로 저장하여 안전성이 높다.

하이브리드 절전 모드

절전모드와 최대 절전모드를 결합한 것. 작업 중인 내용들을 메모리와, 디스크에 저장한 다음에 절전 상태로 전환시킨다. 절전모드의 빠른 부팅과 예기치 못한 에러로 작업 내용이 사라지지 않게 디스크에 저장한 최대 절전모드의 장점을 살려낸 것이 가장 큰 특징이다. 아래의 경로에서 하이브리드 절전을 on/off가 가능하다.

2020/12/09 - [[ ★ ]Study/[ - ]Digital Forensic] - 디지털 포렌식 - PC 절전 모드 행위(2)