환경: VMware 15.5 pro / Windows7x64
1. 공통(일반/시크릿모드) 분석환경
각각 이미지 검색 후 다운로드를 받고, 메일을 보내주었다.
프로세스 종료(브라우저 창 닫기) 후 약 30분 가량 기다려 준 뒤, suspend 모드로 전환하였다.
그 후 이전 게시글의 환경과 같게, pslist, memdump, strings.exe 를 통해 덤프파일을 분석해보았다.
2. 일반모드 분석환경 및 분석
'whiteapple' 검색 후 나오는 사진을 'applephone.jpg'으로 다운로드 받았다.
'blackpink' 검색 후 'blackpink.jpg' 로 다운로드 받았다.
수신자 'liz0904@nate.com', 메일제목 및 메일 내용,
'blackpink.jpg' 파일 첨부를 한 뒤 메일을 전송해주었다.
whiteapple을 검색해준 기록이 search.naver 기록과 함께 저장되어 있음이 확인가능했다.
그리고 얼마가지 않아 아래에는 applephone.jpg 이름으로 사진을 저장한 기록이 있었다.
또 다운로드 기록과 동시에 search.naver로 whiteapple과 blackpink를 검색한 기록이 같이 있었다.
그 아래를 자세히 보면 Downloads\applephone.jpg도 있는 걸 보면
검색 후 다운로드를 한 기록을 다 확인할 수 있다.
blackpink를 다운받은 경로 게시글의 원래 제목도 확인할 수 있었다. 아래에는 Save image as 라는 기록이 있는 걸 보니, 그냥 save(이미지 저장)를 통해 다운로드를 받았는지, Save image as(다른 이름으로 이미지 저장)를 통해 다운로드를 받았는지도 기록에 남는 것 같았다.
메일 내용도 찾을 수 있었다. 메일의 수신자 주소, 메일의 둘째줄과 셋째줄(마지막줄)도 확인할 수 있었다. 첫째줄은 어디간 걸까..? 첫째줄 검색을 깜빡해서 찾지는 못했다 ㅠㅠ
이메일 내용도 확인이 가능했다. liz0904@nate.com으로 수신자를 지정해둔 것, 메일 전체 내용 등 저체 내용 확인이 가능했다. 어떤 파일을 첨부했는지는 나타나지 않았다.
3. 시크릿모드 분석환경 및 분석
nct mark를 검색한 뒤, handsomeboy.jpg 이름으로 저장해주었다.
turtle을 검색한 뒤, cute turtle.jpg로 이미지를 다운로드 해주었다.
그 후, liz0904@daum.net 수신자에게 메일 제목, 메일 내용, cute turtle 이미지파일을 첨부해 메일을 전송해주었다.
handsomeboy, cute turtle에 대한 다운로드 기록이 모두 남아있었다.
이메일 수신자인 liz0904@daum.net의 기록을 확인할 수 있었다.
일반모드와 동일하게, 이메일 수신자의 주소 및 메일 제목, 메일의 전체 내용까지 모두 확인이 가능했다.
프로세스를 종료하고 나자, 일반모드에서 전송한 메일의 수신자 주소(liz0904@nate.com)와 메일내용(let's play)는 찾을 수 없었다. 'blackpink' 검색 및 다운로드를 했던 원래 경로(네이버 포토뉴스)의 제목 또한 사라진 것을 확인할 수 있다.
하지만 다운로드 기록과 동시에 search.naver로 whiteapple과 blackpink를 검색한 기록은 있었다.
그 아래를 자세히 보면 Downloads\applephone.jpg도 있는 걸 보면 검색 후 다운로드를 한 기록을 다 확인할 수 있다.
또한 이미지 다운로드 기록이 대놓고 나와있는 것도 있었다.
시크릿모드 또한 일반모드와 동일하게 메일 내용은 검색되지 않았다. 하지만 일반모드와는 다르게 nct mark를 검색했던 검색기록은 남아있지 않았다.
검색기록은 남지 않아도, 이미지를 다운로드한 기록은 있다는 것을 잊지 말자!
프로세스 종료 여부 |
모드 (일반/시크릿) |
아티팩트 분석 |
결과 |
프로세스 종료X (브라우저 창을 닫지 않고 suspend모드로 전환) |
일반 모드 |
검색 기록 |
O |
이미지 다운로드 기록 |
O |
||
메일 수신자 |
O |
||
메일 제목 |
O |
||
메일 내용 |
O |
||
시크릿 모드 |
검색 기록 |
O |
|
이미지 다운로드 기록 |
O |
||
메일 수신자 |
O |
||
메일 제목 |
O |
||
메일 내용 |
O |
||
프로세스 종료O (브라우저 창을 닫은 채로 30분 경과 후 suspend모드로 전환) |
일반 모드 |
검색 기록 |
O |
이미지 다운로드 기록 |
O |
||
메일 수신자 |
X |
||
메일 제목 |
X |
||
메일 내용 |
X |
||
시크릿 모드 |
검색 기록 |
X |
|
이미지 다운로드 기록 |
O |
||
메일 수신자 |
X |
||
메일 제목 |
X |
||
메일 내용 |
X |
추가적으로, 일반모드에서 liz0904@nate.com으로 보낸다는 걸 ilz0904@nate.com으로 수신자 이메일을 잘못설정해서 보냈었다. 그래서 메일전송이 취소되었었는데, 이와 관련한 내용은 프로세스를 종료하고 나서도 꽤 많이 남아있다는 것을 알 수 있었다.
잘못전송 된 메일의 제목이 나오고, 그 아래에 url이 하나 뜬다. 저 경로로 들어가니 로그인을 해야해서 로그인을 했다.
그 url로 넘어가니 써놨던 기록이 그대로 있었다.
심지어 VMware Windows7에서 썼던 기록인데, 실제 내 컴퓨터 Windows10으로
완전 다른 컴퓨터에서 한 것과 마찬가지였는데 그대로 떴다. 아마 내 네이버 계정에 남아있는 것 같다.
친구들 아이디로도 들어가 봤는데 전송자가 전송을 취소한 메일입니다? 와 같은 문구가 뜨고 저 내용은 뜨지 않았다.
하지만 내 계정으로 들어가니 로딩이 되면서 메일 내용을 불러오고 있었는데, 로딩이 너무 오래걸려서 중간에 껐다.
'디지털 포렌식(Digital Forensics) > 네이버 웨일 웹 포렌식(Naver Whale Web Forensics)' 카테고리의 다른 글
네이버웨일 일반모드/시크릿모드 WinHex 분석 (0) | 2020.08.03 |
---|---|
네이버웨일 일반모드/시크릿모드 아티팩트 분석 (0) | 2020.07.31 |
네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-1차 (0) | 2020.07.28 |
네이버 웨일 '시크릿모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 (0) | 2020.07.24 |
네이버 웨일 '일반모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 (0) | 2020.07.24 |
댓글