반응형
환경:
가상머신 - VMware
운영체제 - Windows10x64
브라우저 - 네이버 웨일
도구 - HxD
네이버 웨일 브라우저를 일반모드를 연 후, 'testmessage!!' 를 검색해보았다.
검색 후 VMware를 Suspend(일시정지) 상태로 변환하였다.
VMware에서는 '.vmem'이라는 확장자를 가진 메모리 덤프파일이 있다. 실행중인 이미지를 Suspend 시키면, .vmem파일이 생성된다.
메모리 덤프 분석을 위해, vmem 파일을 HxD 에디터에서 열어보았다. vmem 파일을 16진수 단위로 볼 수 있다. Ctrl+f 를 해서 'testmessage!!' 라고 검색했던 기록이 남아있는지 확인해보자!
search.naver.com/search.naver?ie=UTF-8&sm=whl_hty&query=testmessage!! 라고 기록이 되어있는 것을 확인할 수 있다.
반응형
'디지털 포렌식(Digital Forensics) > 네이버 웨일 웹 포렌식(Naver Whale Web Forensics)' 카테고리의 다른 글
| 1. 볼라틸리티(Volatility) 기본 명령어 실습 - 프로파일(Profiles) (0) | 2020.06.13 |
|---|---|
| 0-2. Windows7 ISO 이미지 파일 설치 (3) | 2020.06.13 |
| 0-1. Python2.7버전 pip 설치 오류 및 UnicodeDecodeError 에러 (0) | 2020.06.13 |
| 0. Windows10에 볼라틸리티 설치 (0) | 2020.06.13 |
| 네이버 웨일 (Naver Whale) 브라우저 검색기록 확인하기 (0) | 2020.06.02 |
댓글