환경 : VMware15.5 pro / Windows7x64
※여기서 비종료란, 브라우저 창을 끄지 않은 채로 프로세스가 활성화되어있도록 한 상태를 말합니다!
1. 환경구축
위의 빨간 네모와 같이 검색을 한 뒤, 네이버가 제공하는 동영상 검색 결과에서 위 제목의 영상의 링크를 타고 들어갔다.
그 후 영상을 시청하였다.
영상 시청 뒤, 댓글을 달기 위해 구글 계정으로 로그인 해주었다.
그 후 로그인한 계정으로 'that is so exciting' 이라는 댓글을 달았다.
위 작업이 완료된 후, suspend 모드로 전환해주었다.
https://liz09045.tistory.com/24?category=787259
네이버웨일(Naver Whale) 일반모드와 시크릿모드에서의 검색기록
환경 : VMware15.5 pro / Windows 7 Home Premium x64 네이버 웨일 일반 모드에서 'today is thursday'를 검색해주었다. 네이버 웨일 시크릿 모드(incognito mode)에서는 'this is incognito mode'를 검색해주었..
liz09045.tistory.com
imgeinfo, pslist, memdump, strings.exe 를 통해 whale.exe의 덤프파일을 생성해 준 뒤, 분석을 해보았다.
만약 이 내용이 이해가 가지 않는다면 위의 링크를 타고 들어가서 확인해보세요.
덤프파일 생성하는 방법을 적어뒀습니다
2. 기록 분석
우선 'youtube Egypt With The World's Greatest Explorer' 라는 검색기록은 떡하니 남아있었다.
영상시청 기록은, URL과 같이 영상의 제목 등이 다 남아있었다.
로그인 기록 또한 계정 아이디, 비밀번호까지 암호화 되지 않은 채로 남아있었다.
(빨간색으로 채워져 있는 내용이 내 구글 계정 이메일과 비밀번호다 ㅠㅠ)
하지만 'that is so exciting' 이라고 남겼던 댓글의 내용은 찾을 수 없었다.
3. 정리
| 기록 | 아티팩트 존재 여부 |
| 검색 | O |
| 방문 웹사이트 (유튜브) | O (URL) |
| 방문한 웹사이트의 내용 ( 유튜브 영상 시청) | O (영상 제목) |
| 로그인 기록 (구글 계정) | O (입력한 아이디/비밀번호) |
| 댓글 기록 (유튜브 댓글) | X |
즉, 웹브라우저를 종료하지 않은 상태로 덤프파일을 떠서 기록을 확인해보면,
시크릿모드일 때는 일반모드 일때와 마찬가지로
검색기록, 방문한 웹사이트 기록, 유튜브 영상 제목 및 URL, 유튜브 로그인 계정(아이디/비밀번호)까지
거의 다 남는 것을 확인할 수 있다.
하지만 댓글기록을 확인할 수 없었다.
프로세스 비종료시에는 일반모드 / 시크릿모드의 차이가 거의 없다고 보면 된다.
'디지털 포렌식(Digital Forensics) > 네이버 웨일 웹 포렌식(Naver Whale Web Forensics)' 카테고리의 다른 글
| 네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-2차 (0) | 2020.07.28 |
|---|---|
| 네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-1차 (0) | 2020.07.28 |
| 네이버 웨일 '일반모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 (0) | 2020.07.24 |
| 네이버웨일 종료 시 일반모드와 시크릿모드의 검색기록 (0) | 2020.07.24 |
| 네이버웨일(Naver Whale) 일반모드와 시크릿모드에서의 검색기록 (2) | 2020.07.16 |
댓글