상황 설명
일반 모드와 시크릿 모드 모두 검색하고, 파일을 다운받고, 영상을 시청함.
창을 닫지 않고 바로 suspend 후 메모리 덤프 실행.
일반 모드
(1) 검색 기록 : "mp3 download" 검색
(2) 다운로드 기록 : 아래 사진 속 mp3파일 다운로드
(3) 영상시청 기록 : 아래 사진 속 영상 시청
시크릿 모드
(1) 검색 기록 : bts mp3 download 검색
(2) 다운로드 기록 : 다음 사진과 같은 mp3 파일 다운
(3) 영상 시청 기록 : 다음 사진과 같은 영상 시청
메모리 덤프
pslist로 인터넷 익스플로러 프로세스의 pid를 알아낸다.
iexplore.exe - 인터넷 익스플로러 프로세스
explorer.exe - 윈도우 탐색기 프로세스
아티팩트 분석
일반 모드
(1) 검색 기록 : 남음
(2) 다운로드 기록 : 저장 경로, 파일 이름까지 남음
(3) 영상 시청 기록 : 남음
영상 제목은 한글은 깨져서 제대로 나오지 않지만, 영어와 숫자는 제대로 나온다.
시크릿 모드
(1) 검색 기록 : 남음
(2) 다운로드 기록 : 파일 경로, 파일명 남음
(3) 영상 시청 기록 : 남음
결론적으로, 브라우저 창을 닫지 않고 바로 suspend한 경우,
일반 모드와 시크릿모드 모두 모든 기록이 남는다.
.. 다른 브라우저를 알아보자
https://m.blog.naver.com/PostView.nhn?blogId=uintone&logNo=80136276730&proxyReferer=https:%2F%2Fwww.google.com%2F
'Forensics > 인터넷 익스플로러 아티팩트 분석' 카테고리의 다른 글
| [포렌식] 인터넷 익스플로러 (Internet Explorer 10) 일반모드에서 아티팩트 분석 - 메모리 덤프 파일과 WinHex 사용편 (0) | 2020.08.06 |
|---|---|
| [포렌식] 인터넷 익스플로러 아티팩트 분석 3편 (0) | 2020.07.24 |
| [포렌식] 인터넷 익스플로러 아티팩트 분석 1편 (0) | 2020.07.17 |
| [포렌식] WebCacheV01.dat 데이터 수집 및 분석 - Inprivate 모드 (0) | 2020.07.16 |
| [포렌식] WebCacheV01.dat 데이터 수집 및 분석 - 일반 모드 (0) | 2020.07.15 |
