환경 : VMware15.5 pro / Windows 7 Home Premium x64
각각 일반모드와 시크릿모드에서 검색을 한 뒤, 프로세스를 종료하지 않고(==브라우저 창을 닫지 않고), suspend 모드로 전환
네이버 웨일 일반 모드에서 'today is thursday'를 검색해주었다.
네이버 웨일 시크릿 모드(incognito mode)에서는 'this is incognito mode'를 검색해주었다.
그 후 VMware를 Suspend 모드로 전환시킨 뒤 남는 .vmem 파일을 가지고 실습을 진행했다.
(네이버웨일 브라우저 창은 끄지 않음)
imageinfo 명령어를 통해 프로파일명이 Win7SP1x64 임을 알 수 있다.
형식 : vol.py -f [덤프 파일] imageinfo
pslist 명령어는 시스템 프로세스들의 정보를 보여주기 위해 사용한다.
(단, 은닉되거나 연결이 끊긴 프로세스는 출력하지 않음)
위에서 얻은 프로파일명을 이용해 pslist 명령어를 실행시키면,
프로세스 목록에 네이버웨일과 관련한 듯한 실행파일을 확인할 수 있다.
pslist에서 네이버웨일 관련 내용을 찾았으니, 메모리 덤프를 통해서 안에 내용을 확인해보려고 한다.
여러개의 내용중에서 가장 위쪽에 있는 PID=3056인 아이를 덤프해 볼 것이다.
memdump 명령어를 사용해 PID 3056를 덤프시켰다.
형식 : vol.py -f [덤프 파일] --profile=[프로파일명] memdump -p [PID] -D [디렉토리 경로]
그 후 strings.exe를 실행해 dmp파일의 내용을 txt 파일로 만들어주었다.
이제 만들어진 텍스트 파일에서, 아까 검색했던 일반모드의 'today is thursday'와 시크릿모드의 'this is incognito mode'에 관한 내용을 검색해 볼 차례다.
일반모드일 때 내용은 당연히 들어있었다.
하지만 예상외로 시크릿 모드에서도 검색기록이 남는다는 것을 확인할 수 있다.
결론은 네이버웨일은 일반모드와 시크릿모드 둘 다 검색기록이 남는다!
'디지털 포렌식(Digital Forensics) > 네이버 웨일 웹 포렌식(Naver Whale Web Forensics)' 카테고리의 다른 글
| 네이버 웨일 '일반모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 (0) | 2020.07.24 |
|---|---|
| 네이버웨일 종료 시 일반모드와 시크릿모드의 검색기록 (0) | 2020.07.24 |
| 웹 브라우저 포렌식과 아티팩트 (2) | 2020.06.13 |
| 1. 볼라틸리티(Volatility) 기본 명령어 실습 - 프로파일(Profiles) (0) | 2020.06.13 |
| 0-2. Windows7 ISO 이미지 파일 설치 (3) | 2020.06.13 |
댓글