본문 바로가기

디지털 포렌식(Digital Forensics)/네이버 웨일 웹 포렌식(Naver Whale Web Forensics)15

네이버웨일 일반모드/시크릿모드 WinHex 분석 환경: Windows10 x64 사용 툴 : WinHex 1. 분석환경 분석하기 전, 친구한테서 받은 메일에서 사진을 다운로드 받아줬다. forensic.jpg를 catcatcat.jpg로 다른이름으로 저장을 해줬다. 그 후, 검색창에 eduwill을 검색해주었다. eduwill 검색결과로 나온 사이트에 방문해서, 방문 웹사이트 기록을 남겨주었다. 시크릿모드에서도 동일하게 Heimish.jpg를 다운로드 받아주었는데, 이때는 이름은 동일하게(Heimish.jpg) 사진을 다운로드 해줬다. 그 후, cocacola korea를 검색해봤다. 검색결과로 나온 웹사이트에 방문해, 방문 웹사이트 흔적을 만들어주었다. 2. WinHex 사용 방법 WinHex를 관리자 권한으로 실행 시킨 뒤, 상단 바에서 Tools.. 2020. 8. 3.
네이버웨일 일반모드/시크릿모드 아티팩트 분석 환경 : Windows10x64 분석도구 : HxD 네이버웨일 브라우저에서 아래 과정을 작업한 뒤, 아티팩트를 조사해봤다. 1. 네이버 검색창에 pepsi 검색 2. s-space.snu.ac.kr/handle/10371/142264 에서 논문 다운로드 3. 네이버 로그인 4. 네이버 이메일 전송 (메일 제목, 메일 내용, '2'에서 다운로드 한 논문 첨부) 5. 친구한테 부탁해서 내 메일 주소로 메일 하나 보내달라함 (메일 제목, 메일 내용, 'forensic.jpg' 파일 첨부) 분석한 아티팩트 경로: C:\Users\김성연\AppData\Local\Naver\Naver Whale\User Data\Default Current Session 파일에서 작업한 내용을 찾아보았다. 'pepsi' 검색 결과.. 2020. 7. 31.
네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-2차 환경: VMware 15.5 pro / Windows7x64 1. 공통(일반/시크릿모드) 분석환경 각각 이미지 검색 후 다운로드를 받고, 메일을 보내주었다. 프로세스 종료(브라우저 창 닫기) 후 약 30분 가량 기다려 준 뒤, suspend 모드로 전환하였다. 그 후 이전 게시글의 환경과 같게, pslist, memdump, strings.exe 를 통해 덤프파일을 분석해보았다. 2. 일반모드 분석환경 및 분석 'whiteapple' 검색 후 나오는 사진을 'applephone.jpg'으로 다운로드 받았다. 'blackpink' 검색 후 'blackpink.jpg' 로 다운로드 받았다. 수신자 'liz0904@nate.com', 메일제목 및 메일 내용, 'blackpink.jpg' 파일 첨부를 한 뒤 메.. 2020. 7. 28.
네이버웨일 일반 / 시크릿 모드에서의 다운로드 및 메일전송 기록-1차 환경 : VMware 15.5 pro / Windows7x64 ※ 이번 분석은 제대로 되지 않아서 더 정확한 분석은 다음 게시글을 보도록 하세요! 이 게시글은 그냥 제가 비교하기 위해서 적어논 글입니다...ㅎ 1. 환경 구축 일반모드와 시크릿모드로 메일을 전송한 뒤, 프로세스 종료 (브라우저 창 닫기)를 하지 않고 suspend 모드로 전환하였다. 모든 환경이 설정된 뒤, pslist, memdump, strings.exe 를 실행한 것이다. pslist 명령어를 통해 실행중인 프로세스를 확인해본 뒤, whale.exe의 PID를 파악해둔다. memdump 명령어와 whale.exe의 PID를 이용해 네이버웨일의 덤프파일을 떠준다. strings.exe를 실행해 네이버웨일 덤프파일을 txt 파일로 변환해.. 2020. 7. 28.
네이버 웨일 '시크릿모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 환경 : VMware15.5 pro / Windows7x64 ※여기서 비종료란, 브라우저 창을 끄지 않은 채로 프로세스가 활성화되어있도록 한 상태를 말합니다! 1. 환경구축 위의 빨간 네모와 같이 검색을 한 뒤, 네이버가 제공하는 동영상 검색 결과에서 위 제목의 영상의 링크를 타고 들어갔다. 그 후 영상을 시청하였다. 영상 시청 뒤, 댓글을 달기 위해 구글 계정으로 로그인 해주었다. 그 후 로그인한 계정으로 'that is so exciting' 이라는 댓글을 달았다. 위 작업이 완료된 후, suspend 모드로 전환해주었다. https://liz09045.tistory.com/24?category=787259 네이버웨일(Naver Whale) 일반모드와 시크릿모드에서의 검색기록 환경 : VMware15.. 2020. 7. 24.
네이버 웨일 '일반모드' 비종료시, 검색 및 웹사이트 방문, 영상시청, 로그인 기록 환경 : VMware15.5 pro / Windows7x64 ※여기서 비종료란, 브라우저 창을 끄지 않은 채로 프로세스가 활성화되어있도록 한 상태를 말합니다! 1. 환경구축 (검색, 유튜브 접속, 영상시청, 로그인) 네이버웨일 일반모드에서 youtube를 검색한 뒤, youtube 링크로 들어갔다. 'A look back at Life in a Day 2010' 라는 제목의 영상을 시청하였고, 웹 사이트 주소는 https://www.youtube.com/watch?v=w8S4gGI4nRo 이었다. 영상을 시청한 뒤, 댓글을 달기 위해 구글 아이디로 로그인을 해주었다. 로그인 후, 아까 'A look back at Linfe in a Day 2010' 영상에 'that is so sad..' 라는 댓글을 .. 2020. 7. 24.

티스토리툴바