환경 : VMware15.5 pro / Windows7x64
※여기서 비종료란, 브라우저 창을 끄지 않은 채로 프로세스가 활성화되어있도록 한 상태를 말합니다!
1. 환경구축 (검색, 유튜브 접속, 영상시청, 로그인)
네이버웨일 일반모드에서 youtube를 검색한 뒤, youtube 링크로 들어갔다.
'A look back at Life in a Day 2010' 라는 제목의 영상을 시청하였고,
웹 사이트 주소는 https://www.youtube.com/watch?v=w8S4gGI4nRo 이었다.
영상을 시청한 뒤, 댓글을 달기 위해 구글 아이디로 로그인을 해주었다.
로그인 후, 아까 'A look back at Linfe in a Day 2010' 영상에 'that is so sad..' 라는 댓글을 달았다.
그 후 네이버웨일 브라우저 창을 닫지 않은 채로,
VMware를 Suspend 모드로 전환해 .vmem 파일을 생성하였다.
imageinfo 명령어를 통해 프로세스명을 확인해 준 뒤,
pslist 명령어를 통해 whale.exe 프로세스를 찾았다. PID는 5092.
memdump 명령어를 통해 5092.dmp라는 덤프파일을 하나 생성해주었고,
이후에 strings.exe을 이용해 .dmp를 .txt로 변환시켜 보기 쉽게 해주었다.
2. 덤프파일 분석
우선, 'youtube' 라고 검색했던 기록은 남는다.
(밑에 있는 다른 검색기록은 이전 검색 기록들이다.)
영상시청한 내용과, 그 영상의 제목, 웹 사이트의 주소(빨간 네모 위에 있음)까지
기록이 남는 것을 확인할 수 있다.
로그인 기록도 남는 것을 볼 수 있다. 유튜브의 구글 계정으로 연동되었는데,
gmail 계정 아이디와 비밀번호까지 암호화되지 않은 채로 그대로 남는 것을 확인할 수 있었다.
(빨간색으로 아예 가려진 부분들이 메일 아이디와 비밀번호임)
'that is so sad..' 라고 적었던 댓글 기록을 찾기 위해서 'sad'만 검색해서 일일이 찾아보았다.
하지만 댓글 기록은 남지 않는 것 같았다.
3. 정리
| 기록 | 아티팩트 존재 여부 |
| 검색 | O |
| 방문 웹사이트 (유튜브) | O (URL) |
| 방문한 웹사이트의 내용 ( 유튜브 영상 시청) | O (영상 제목) |
| 로그인 기록 (구글 계정) | O (입력한 아이디/비밀번호) |
| 댓글 기록 (유튜브 댓글) | X |
즉, 네이버웨일 일반모드 일 때 프로세스를 종료하지 않으면, 검색기록, 방문한 웹사이트 주소,
시청한 유튜브 영상의 제목, 유튜브에서 로그인한 계정의 아이디와 비밀번호는 아티팩트에 저장이 된다.
하지만 그 계정으로 작성한 댓글은 남지 않았다.
'디지털 포렌식(Digital Forensics) > 네이버 웨일 웹 포렌식(Naver Whale Web Forensics)' 카테고리의 다른 글
| 네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-1차 (0) | 2020.07.28 |
|---|---|
| 네이버 웨일 '시크릿모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 (0) | 2020.07.24 |
| 네이버웨일 종료 시 일반모드와 시크릿모드의 검색기록 (0) | 2020.07.24 |
| 네이버웨일(Naver Whale) 일반모드와 시크릿모드에서의 검색기록 (2) | 2020.07.16 |
| 웹 브라우저 포렌식과 아티팩트 (2) | 2020.06.13 |
댓글