환경 : VMware 15.5 pro / Windows7x64
※ 이번 분석은 제대로 되지 않아서 더 정확한 분석은 다음 게시글을 보도록 하세요!
이 게시글은 그냥 제가 비교하기 위해서 적어논 글입니다...ㅎ
1. 환경 구축
일반모드와 시크릿모드로 메일을 전송한 뒤,
프로세스 종료 (브라우저 창 닫기)를 하지 않고 suspend 모드로 전환하였다.
모든 환경이 설정된 뒤, pslist, memdump, strings.exe 를 실행한 것이다.
pslist 명령어를 통해 실행중인 프로세스를 확인해본 뒤, whale.exe의 PID를 파악해둔다.
memdump 명령어와 whale.exe의 PID를 이용해 네이버웨일의 덤프파일을 떠준다.
strings.exe를 실행해 네이버웨일 덤프파일을 txt 파일로 변환해 더 쉽게 찾을 수 있도록 했다.
2. 일반모드 분석환경 및 분석
우선 일반모드에서 'mother'라는 키워드를 검색한 뒤,
이미지 목록에서 아무 사진이나 골라서 'mother.jpg'로 저장했다.
그 다음으로는 'liz0904@daum.net' 주소로, 메일 제목과 내용을 쓰고,
앞서 다운 받았던 'mother.jpg'를 첨부해서 메일을 보냈다.
덤프파일에서 이메일 전송 시 보냈던 이메일 제목을 찾을 수 있었다.
다운로드 받은 사진과 사진의 경로 또한 저장되어 있었다.
메일 내용도 몇 개 찾아 볼 수 있었지만, 첫째줄까지만 기록되어 있는 것을 확인할 수 있다.
'mommy'를 검색해서 두번째줄의 내용도 확인해보려했지만 찾을 수 없었다.
2. 시크릿모드 분석환경 및 분석
이번엔 시크릿 모드에서 'daughter' 키워드를 검색한 뒤,
'daughter.jpg' 이름으로 사진을 다운로드 받았다.
그 다음 앞서 진행한 일반모드와 동일하게 메일을 보냈지만,
수신자 메일 주소는 'liz0904@nate.com'으로 하고 'daughter.jpg' 파일을 첨부해
제목과 내용을 적어 전송했다.
메일 전송 기록을 찾기 위해,
수신자 메일 주소인 'liz0904@nate.com'을 검색하자, 메일 전체 내용이 나왔다.
메일 제목부터 전체 내용까지 확인할 수 있었다.
위에 mail.naver.com 기록과 같이 보니 이메일로 보낸 사진 기록도 찾을 수 있었다.
이미지 검색 및 다운로드 한 기록은 위에 search.naver.com 기록과 함께 있어서 구분이 가능한 것 같다.
다운로드 받은 사진이 어디에 저장되었는지까지 경로 확인도 가능했고,
저장 시 사진의 제목도 알 수 있었다. 아마 캐시 데이터에 저장되어 있는 것 같다.
관련 내용은 다음 포스팅에서 각 아티팩트 파일별로 확인해보는 작업을 통해 알아보도록 하겠습니다!
4. 결과정리 및 검토
정리하자면,
일반모드에서는 이메일 기록 중 다운로드 기록 및 메일 내용의 첫줄,
메일의 제목 및 첨부 파일을 확인할 수 있었고,
시크릿모드에서는 이메일 기록 중 다운로드 기록 및
메일 내용의 전체 내용(수신자 메일, 메일 제목, 메일 내용, 전송한 파일)을 확인할 수 있었다.
하지만 일반모드와 시크릿모드의 기록에서 차이가 있었고,
오히려 시크릿모드에서 기록이 더 남아있는 걸 보니 분석 환경과 시간 측정이 잘못된 것 같아 바로 다음포스팅에서 다시 체크를 해보아야 할 것 같다!!
다음 게시글에서 더 정확한 결과를 확인해봅시당!
'디지털 포렌식(Digital Forensics) > 네이버 웨일 웹 포렌식(Naver Whale Web Forensics)' 카테고리의 다른 글
| 네이버웨일 일반모드/시크릿모드 아티팩트 분석 (0) | 2020.07.31 |
|---|---|
| 네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-2차 (0) | 2020.07.28 |
| 네이버 웨일 '시크릿모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 (0) | 2020.07.24 |
| 네이버 웨일 '일반모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 (0) | 2020.07.24 |
| 네이버웨일 종료 시 일반모드와 시크릿모드의 검색기록 (0) | 2020.07.24 |
댓글