디지털포렌식2 네이버웨일 종료 시 일반모드와 시크릿모드의 검색기록 환경 : VMware15.5 pro / Windows7x64 각각 일반모드와 시크릿모드에서 검색 실행 후, 브라우저 창을 닫고 suspend 모드로 전환 . 환경구축 (일반모드와 시크릿모드에서 각각 다른 문장 검색) 일반모드에서 today is friday를 검색한 뒤, 브라우저 창을 종료했다. 시크릿모드에서 this is searching in incognito mode. 를 검색한 뒤, 브라우저 창을 종료했다. . 웹 브라우저 창을 종료했을 때 약 10분정도 경과된 뒤, VMware를 Suspend 모드로 돌려 .vmem 파일을 생성했다. 늘 하던 방식대로, imageinfo 명령어를 통해 프로세스명을 확인했다. (Win7SP1x64) pslist를 통해 프로세스 목록을 확인해보았다. 프로세스를 종료.. 2020. 7. 24. [Network] DefCoN#21 #3 오늘의 문제!!! 문제에서 제시된 자료를 다운받고 와이어샤크로 열어보면 엄청나게 많은 패킷이 들어있는 것을 볼 수 있다 File->Export Objects->HTTP로 열어보았다. 이 기능은 HTTP로 주고 받은 파일들을 나열해준다. Content Type 란을 보면 다 HTML 관련 내용임을 알 수 있는데, 패킷 넘버 390,480번의 mmsc.cingular.com만 mms-message로 다른 내용인 것을 확인 할 수 있다. 다시 패킷캡처창으로 넘어와서 390번 패킷의 내용을 확인해보자. Follow->TCP Stream으로 창을 켜서 확인해보았다. 저장해준 폴더에 들어가서 파일 확장자로 .mp4로 변경한 뒤 열어보았으나 실행되지 않았다. 그 이유는 바로 이름바꾸기로 변경한 확장자는 맞았으나, 파.. 2020. 7. 5. 이전 1 다음
