dotaky99

PC환경

windows 10 pro, 1909

그렇다면 PC 절전모드에 대해서 알아보았다. 그러면 사용자가 사용을 하지 않아서 절전모드가 된 것인지 혹은 사용자가 직접 절전모드를 눌러서 전환이 되었는지, 노트북 경우 뚜겅을 닫아서 절전모드로 전환되었는지를 알아보도록 한다.

추가로 최대 절전모드 (Hibernate) 레지스트리 경로는 다음 아래의 경로에 있다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power

CASE1 - 사용자가 절전모드 혹은 최대 절전모드를 직접 누를 때

절전 모드 전환에는 또 두 가지 경우로 나뉜다. 시작버튼에서 절전모드 하는 방식과 흔히 ALT-F4를 눌러서 절전모드를 누르는 경우이다. 실험 PC에서는 같은 로그를 띄웠다. 사용자가 직접 절전모드를 눌렀을 때는 다음과 같은 로그가 발생한다. ( 추후 더 다양한 환경에서 해볼 예정 )

아래는 최대 절전모드를 사용자가 직접 누를 때 나타나는 로그이다. TargetState, EffectiveState값이 5로 설정되어있다.

CASE2 - 사용자가 PC를 사용하지 않아서 절전모드 혹은
최대 절전모드로 전환될 때

사용자의 PC 미사용으로 인한 절전모드 전환이다. TargetState, Effective 값은 4로 고정이며, Reason은 7로 표시된다.

<최대 절전모드 추후 게시>

CASE3 - 노트북 경우 화면을 닫는 경우

노트북 뚜껑을 닫는 경우 다음과 같은 로그가 발생한다. TargetState, EffectiveState값이 4, Reason은 0으로 표시된다.
아래 로그는 일반 절전 모드일 때 뚜껑을 닫은 로그이다.

다음 아래 로그는 최대 절전 모드 설정 후 뚜껑을 닫아보았다. TargetState, EffectiveState값이 달라졌다.

CASE4 - 그 외

TargetState 값이 6, EffectiveState 값이 5, Reason이 4일 때의 경우도 나오는데 아직 정보가 확실하지 않다. 하지만 확실한건 사용자가 절전모드를 누르지 않고 생긴 로그이다. 추후 분석요함.

좋은 정보가 있거나 수정할 부분 있으면 댓글 바랍니다.

PC(데스크톱, 노트북)의 종료 방법은 크게 세 가지 경우로 나뉜다.

1. 완전 종료
2. 절전 모드 종료
3. 최대 절전 모드 종료
4. 하이브리드 절전 모드 종료
(다시시작은 종료 후 PC시작되므로 예외)

여기서 중점적으로 볼 것은 2번에서 4번이다. 절전모드 또한 사용자의 다양한 행위를 증명하는 용도로 사용된다. 그럼 기본적으로 분석 하기에 앞서 절전모드, 최대 절전모드, 하이브리드 절전모드 서로는 어떠한 차이점이 있는지 알아보자.

절전 모드

전력 소모가 거의 없고 PC속도가 빠르며 종료한 부분에서 즉시 이어서 작업할 수 있다. 배터리 잔량이 부족할 경우 Windows가 모든 작업을 자동 저장하고 PC를 종료하기 때문에 배터리 소모로 인한 작업 손실 없이 작업 수행이 가능하다. 또한, 전원 옵션에 설정된 시간에 의하여 사용하지 않을 때 절전모드로 전환되기도 한다. 비디오 재생시 일시정지와 같다. 노트북 및 태블릿 경우 덮개를 닫거나 전원 버튼을 닫으면 절전모드로 전환된다.

최대 절전 모드

hibernation 이라고 본 적이 있을 것이다. 윈도우 기본설정으로 최대 절전모드가 적용되어있어 PC가 제대로 종료되지 않고, 느려지며, 운영체제 설치된 파티션에 용량을 차지하는 경우가 있어 사용자 입장에서 불편함을 느끼기도 한다. 최대 절전 모드는 노트북용으로 설계가 되어있다. 최대 절전 모드에서는 절전 모드보다 더 적은 전원을 사용하며 PC를 다시시작할 때 종료된 부분으로 돌아가지만 속도면에서는 절전모드보다 느리다. 아래 사진의 경로에서 최대 절전 모드를 on/off 할 수 있다. 또한, cmd(명령 프롬프트)를 관리자로 실행하여 'powercfg.exe /hibernate off' 명령으로 최대 절전 모드를 해제할 수 있으며 마지막 인자 off를 on으로 바꾸면 최대 절전 모드를 켤 수 있다.

최대 절전모드를 사용하면 운영체제가 설치된 파티션 드라이브에 루트 폴더에 hiberfil.sys 라는 파일이 생성된다. 여기에 최대 절전 모드로 전환되기전에 작업한 내용들이 저장된다. 디지털 포렌식 관점에서 사용자가 어떤 행위를 했는지 분석이 가능하다. 이 파일이 없으면 최대 절전모드로 전환이 불가능하다. 작업과 설정을 메모리에 저장하는 절전모드와 달리 데이터를 파일로 저장하여 안전성이 높다.

하이브리드 절전 모드

절전모드와 최대 절전모드를 결합한 것. 작업 중인 내용들을 메모리와, 디스크에 저장한 다음에 절전 상태로 전환시킨다. 절전모드의 빠른 부팅과 예기치 못한 에러로 작업 내용이 사라지지 않게 디스크에 저장한 최대 절전모드의 장점을 살려낸 것이 가장 큰 특징이다. 아래의 경로에서 하이브리드 절전을 on/off가 가능하다.

2020/12/09 - [[ ★ ]Study/[ - ]Digital Forensic] - 디지털 포렌식 - PC 절전 모드 행위(2)