네이버웨일(Naver Whale) 일반모드와 시크릿모드에서의 검색기록

환경 : VMware15.5 pro / Windows 7 Home Premium x64

각각 일반모드와 시크릿모드에서 검색을 한 뒤, 프로세스를 종료하지 않고(==브라우저 창을 닫지 않고), suspend 모드로 전환

 

 

 

일반 모드에서 검색

네이버 웨일 일반 모드에서 'today is thursday'를 검색해주었다.

 

 

 

 

 

incognito 모드에서 검색

네이버 웨일 시크릿 모드(incognito mode)에서는 'this is incognito mode'를 검색해주었다.

 

 

 

 

그 후 VMware를 Suspend 모드로 전환시킨 뒤 남는 .vmem 파일을 가지고 실습을 진행했다.

(네이버웨일 브라우저 창은 끄지 않음)

 

 

 

 

프로파일명 확인

imageinfo 명령어를 통해 프로파일명이 Win7SP1x64 임을 알 수 있다.

형식 : vol.py -f [덤프 파일] imageinfo

 

 

 

pslist

pslist 명령어는 시스템 프로세스들의 정보를 보여주기 위해 사용한다.

(단, 은닉되거나 연결이 끊긴 프로세스는 출력하지 않음)

위에서 얻은 프로파일명을 이용해 pslist 명령어를 실행시키면,

프로세스 목록에 네이버웨일과 관련한 듯한 실행파일을 확인할 수 있다.

pslist에서 네이버웨일 관련 내용을 찾았으니, 메모리 덤프를 통해서 안에 내용을 확인해보려고 한다.

여러개의 내용중에서 가장 위쪽에 있는 PID=3056인 아이를 덤프해 볼 것이다.

 

 

 

 

memdump

memdump 명령어를 사용해 PID 3056를 덤프시켰다.

형식 : vol.py -f [덤프 파일] --profile=[프로파일명] memdump -p [PID] -D [디렉토리 경로]

 

 

 

strings.exe

그 후 strings.exe를 실행해 dmp파일의 내용을 txt 파일로 만들어주었다.

 

 

 

 

이제 만들어진 텍스트 파일에서, 아까 검색했던 일반모드의 'today is thursday'와 시크릿모드의 'this is incognito mode'에 관한 내용을 검색해 볼 차례다.

 

 

 

 

일반모드에서의 검색기록

일반모드일 때 내용은 당연히 들어있었다.

 

 

 

 

시크릿 모드에서의 검색기록

하지만 예상외로 시크릿 모드에서도 검색기록이 남는다는 것을 확인할 수 있다.

 

 

 

 

결론은 네이버웨일은 일반모드와 시크릿모드 둘 다 검색기록이 남는다!