본문 바로가기
디지털 포렌식(Digital Forensics)/네이버 웨일 웹 포렌식(Naver Whale Web Forensics)

네이버웨일 종료 시 일반모드와 시크릿모드의 검색기록

by LIZ0904 2020. 7. 24.
반응형

 

환경 : VMware15.5 pro / Windows7x64

각각 일반모드와 시크릿모드에서 검색 실행 후, 브라우저 창을 닫고 suspend 모드로 전환

 

 

<1>. 환경구축 (일반모드와 시크릿모드에서 각각 다른 문장 검색)

일반모드에서 검색

일반모드에서 today is friday를 검색한 뒤, 브라우저 창을 종료했다.

 

 

 

시크릿모드에서 검색

시크릿모드에서 this is searching in incognito mode. 를 검색한 뒤, 브라우저 창을 종료했다.

 

 

 

 

 

 

 

 

<2>. 웹 브라우저 창을 종료했을 때

 

약 10분정도 경과된 뒤, VMware를 Suspend 모드로 돌려 .vmem 파일을 생성했다.

 

 

 

imageinfo

늘 하던 방식대로, imageinfo 명령어를 통해 프로세스명을 확인했다. (Win7SP1x64)

 

 

 

pslist를 통해 프로세스 목록을 확인해보았다.

 

프로세스를 종료했음에도 불구하고 프로세스 목록에 남기는 한다.

어떤 브라우저들은 pslist를 실행했을 시, 보이지 않기도 한다.

브라우저창 두개를 종료했기 때문에 whale.exe가 하나만 남는 것 같다.

(프로세스 종료 전에는 여러개의 whale.exe 목록이 떴었음)

 

 

 

 

memdump

memdump 명령어를 이용해 whale.exe의 PID 2500 의 덤프파일을 생성해준다.

 

그 후, strings.exe를 이용해 .dmp 파일을 .txt 파일로 변경해주었다.

 

 

 

일반모드 덤프파일
시크릿모드 덤프파일

 

일반모드와 시크릿모드에 각각 검색했던 기록들을 덤프파일에서 검색해보았다.

이전에 프로세스를 종료하지 않고 Suspend 모드로 전환했을 시에는,

일반 / 시크릿 모드 둘 다 검색기록이 남아있었다.

하지만 프로세스 종료했을 시에는,

일반모드 시크릿모두 둘 다 검색기록이 남지 않는다는 것을 확인할 수 있었다.

 

 

 

 

 

<3>. 브라우저를 다시 열어본 뒤 창을 닫지 않고, suspend모드로 전환했을 때

 

<2>에서 해두었던 suspend 모드에서 resume으로 다시 실행한 뒤 네이버웨일 브라우저를 다시 켜보았다.

그 후 pslist와 memdump, strings.exe 명령어를 통해 다시 whale.exe의 덤프파일을 생성해주었고,

또다시 분석을 해보았다. 

 

 

 

 

프로세스를 다시 실행했을 때 검색기록-일반모드

프로세스를 종료했을 때 뜨지 않던 검색기록이, 프로세스를 재시작하니까 검색을 할 수 있었다.

일반모드에서 검색했던 'today is firday' 에 대한 검색기록은 남아있다.

 

 

 

프로세스를 다시 실행했을 때 검색기록-시크릿모드

시크릿모드에서 검색했던 'this is searching in incognito mode'에 대한 기록은 남아있지 않는다.

 

 

 

 

 

<4>. Suspend 모드에서 shutdown으로 아예 종료 후, 다시 브라우저창 키고 검색

 

<3>에서 Suspend 모드로 전환했던 걸 다시 resume 해서 실행했다.

그 후 브라우저 창을 닫은 뒤, shutdown 하였다.

다시 부팅한 뒤, 웹 브라우저 창을 키고 'hi'를 검색했다.

이때, 브라우저 창은 그대로 켜둔 뒤 suspend 모드로 전환하였다.

 

 

 

일반모드 검색기록

shutdown 한 뒤 다시 켜도, 일반모드일 때 검색기록은 그대로 남아있었다.

 

시크릿 모드에서의 검색기록

하지만 시크릿 모드의 검색기록은 남아있지 않았다.

 

 

 

 

 

<5> 결과정리

상태 (모두 Suspend 모드로 전환)

모드 (일반/시크릿)

아티팩트 생성 여부

웹 브라우저 창을 켜둔 상태

일반 모드

O

시크릿 모드

O

웹 브라우저 창을 끈 상태

일반 모드

O

시크릿 모드

X

브라우저 창을 끄고 

Suspend 전환 뒤,

다시 윈도우 실행 후

브라우저 창을 켜둔 상태

일반 모드

O

시크릿 모드

X

Shutdown 후 다시 웹브라우저 실행

일반 모드

O

시크릿 모드

X

 

 

 

 

즉, 프로세스를 종료하지 않으면 시크릿 모드 기록은 남지만,

프로세스를 한번이라도 종료하는 순간 시크릿모드의 기록은 삭제되는 것 같다.

일반모드는 모든 정보가 다 남는다!

반응형
저작자표시

'디지털 포렌식(Digital Forensics) > 네이버 웨일 웹 포렌식(Naver Whale Web Forensics)' 카테고리의 다른 글

네이버 웨일 '시크릿모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록  (0) 2020.07.24
네이버 웨일 '일반모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록  (0) 2020.07.24
네이버웨일(Naver Whale) 일반모드와 시크릿모드에서의 검색기록  (2) 2020.07.16
웹 브라우저 포렌식과 아티팩트  (2) 2020.06.13
1. 볼라틸리티(Volatility) 기본 명령어 실습 - 프로파일(Profiles)  (0) 2020.06.13

관련글

댓글

티스토리툴바