네이버 웨일의 각 파일들에 어떠한 데이터 기록이 남게 되는지 눈으로 확인해보고자, 브라우저의 검색이록이 어디어디에 저장이 되는지 실습해보았다.
환경
Windows 10 Homex64
네이버 웨일의 AppData 구조는 다음 사진과 같다.
여기서 Default 폴더에 들어가보면, 쿠키(Cookies), 히스토리(History), *파비콘(Favicons), 현재 탭(Current Tabs), 마지막 탭(Lasst Tabs), 마지막 세션 정보(Last Session)가 들어있는 파일 등 중요한 파일들이 있다.
*파비콘 : 웹 브라우저의 주소창에 표시되는 웹사이트나 웹페이지를 대표하는 아이콘인데, 쉽게 말해 주 소 창에 표시된 작은 즐겨찾기 아이콘이라고 생각하면 된다.
이제 네이버 웨일에서 검색을 해보자. 'hello liz0904!'를 검색했다. 'hello liz0904!'를 검색하기 20분전 쯤, 'hello pororo'도 검색을 했었다. 브라우저는 어제도 이용을 했었던 상태이다.
첫번째로, 히스토리 파일(History)을 열어보았다. 웹 히스토리는 웹 사이트 방문 시 웹 사이트의 정보를 분류해 저장하고, URL, 접속시간, 접속횟수, 페이지 제목 등의 정보를 제공한다. HxD 에디터로 히스토리 파일을 열자, 파일의 내용들이 16진수로 막 나오는 것을 볼 수 있다. Ctrl+f를 이용해 아까 검색했던, 'hello liz0904!'에 대한 기록이 있는지 확인해보자.
두가지의 결과가 나오는데, 하나는 사용자가 입력했던 'hello liz0904!'이 기록되어 있고, 하나는 'https://search.naver.com/search.naver?query=hello+liz0904%21&ie=utf8&sm=whl_nhthello liz0904!' 로 URL이 저장되어 있다. 추가적으로, 어제 브라우저를 열었을 때 검색했던 기록은 없었고, 오늘 'hello liz0904!'를 검색하기 20분전쯤 검색했던 'pororo'에 대한 기록은 남아있었다.
다음은 최근 탭(Current Tabs) 파일을 열어보았다. 아래 사진보다 더 많은 결과가 나왔지만 그냥 세개만 예시로 뒀다. 브라우저를 닫기 직전의 기록들만 남아있고, history와 다르게 이전에 닫았던 브라우저('hello pororo'를 검색한)에 대한 기록은 없었다.
마지막으로 마지막 탭(Last Tabs) 파일을 열어보았다. 'hello liz0904!'의 기록만 남아있을 것이라고 예상했지만, 'hello liz0904!'에 대한 기록은 남아있지 않았고 이전 검색 기록인 'hello pororo' 기록이 남아있었다.
'디지털 포렌식(Digital Forensics) > 네이버 웨일 웹 포렌식(Naver Whale Web Forensics)' 카테고리의 다른 글
1. 볼라틸리티(Volatility) 기본 명령어 실습 - 프로파일(Profiles) (0) | 2020.06.13 |
---|---|
0-2. Windows7 ISO 이미지 파일 설치 (3) | 2020.06.13 |
0-1. Python2.7버전 pip 설치 오류 및 UnicodeDecodeError 에러 (0) | 2020.06.13 |
0. Windows10에 볼라틸리티 설치 (0) | 2020.06.13 |
vmem으로 네이버 웨일(Naver Whale) 검색기록 확인하기 (0) | 2020.06.02 |
댓글