시크릿 모드에서 아티팩트 분석은 어떤지 살펴보자.
설정->안전->Inprivate 브라우징을 클릭하면 시크릿 모드가 실행된다.
dirty 상태가 더 많은 기록이 남는다는 소리를 들어 dirty 상태에서 한 번, clean 상태에서 한 번 진행해보겠다.
분석도구 : IE10Analyzer
WebCacheV01.dat 파일의 Carving 과정을 거쳐 분석을 진행
1-1. dirty 상태
시작-cmd-관리자 권한으로 실행
작업관리자 - com surrogate 작업 종료
다시 xcopy
복사한 WebCacheV01.dat가 있는 곳에서 cmd창 켜기
[PrivateBrowsing] : 시크릿 모드 사용 결과
1-2. Clean 모드
.. 아닌 것 같다.
두가지 결과를 종합해보면, content 항목이 가장 많은 것을 알 수 있다. 즉, Cache 값이 가장 많이 남아있는 것을 확인할 수 있다.
2. 아티팩트 분석
2-1. History
2-2. Cache
일반 모드에서보다 확연히 양이 적은걸 알 수 있다.
2-3. Cookie
일반 브라우저와 마찬가지로 내용은 없다.
일반 브라우저와 다른 폴더에 저장되어 있음을 알 수 있다.
2-4. download
Container_29
문자열 배열 시작
소스 URL
저장 경로 : 일반 모드에서와 다른 경로에 저장됨
'Forensics > 인터넷 익스플로러 아티팩트 분석' 카테고리의 다른 글
| [포렌식] 인터넷 익스플로러 아티팩트 분석 3편 (0) | 2020.07.24 |
|---|---|
| [포렌식] 인터넷 익스플로러 아티팩트 분석 2편 (0) | 2020.07.24 |
| [포렌식] 인터넷 익스플로러 아티팩트 분석 1편 (0) | 2020.07.17 |
| [포렌식] WebCacheV01.dat 데이터 수집 및 분석 - 일반 모드 (0) | 2020.07.15 |
| [포렌식] Internet Explorer 10 아티팩트 (2) | 2020.06.12 |
