상황 1)
다른 검색 결과와 겹치지 않게 특이한 단어를 골라 분석했다.
*환경 : 가상머신, window 7
일반모드
1. 검색어 : rambutan
2. 검색어 : eduwill
3. 웹사이트 방문 : www.eduwill.net/Basic/global_main.asp
4. 사진 저장 : img_award01.jpg
경로 : C:\Users\sue\Pictures
시크릿 모드
5. 검색어 : jabuticaba
6. 검색어 : ggpolice
7. 웹사이트 방문 : www.ggpolice.go.kr/
8. 사진 저장 : main_fl_02.jpg
경로 : C:\Users\sue\Pictures
9. 모든 인터넷 창 끄고 30분 대기
10. suspend
*가상머신에서 suspend는 실제 컴퓨터를 끄지 않고 놔두는 것과 같다.
11. vmem 파일 생성
경로 : C:\Users\유저이름\Documents\Virtual Machines\Windows 7 x64 (2)
메모리 덤프
분석 도구 : volitility
먼저 imageinfo로 profile을 확인해준다.
Profile : Win7SP1x64
pslist로 explorer의 PID를 확인한다.
PID : 2980
Strings를 이용해 메모리 덤프를 하고, txt파일로 변환해준다.
메모리 덤프 파일 : 2980.dmp.txt
1. 검색기록 : rambutan
2. 검색기록: eduwill
뭐라고 검색했는지, 어느 검색 엔진을 사용하고 있는지 모두 나온다.
3. 방문 웹사이트 : http://www.eduwill.net/Basic/global_main.asp
4. 다운로드 받은 사진 : img_award01.jpg
다운로드 받은 경로, 이름 모두 나온다.
| 메모리 덤프 (일반 모드) | 검색어 | 웹사이트 | 다운로드 한 사진 |
| 추출 여부 | O | O | O |
WinHex
분석 도구 : WinHex
분석 파일 : $MFT
*Pagefile.sys도 검색해봤지만, 어떤 결과도 나오지 않았음
1. 검색어 : rambutan
2. 검색어 : eduwill
3. 다운로드 받은 사진 : img_award01.jpg
4. 방문 웹사이트 : http://www.eduwill.net/Basic/global_main.asp
*추후 업로드
| WinHex (일반 모드) | 검색어 | 웹사이트 | 다운로드 한 사진 |
| 추출 여부 | O | O | X |
상황 2)
메모리 덤프, WinHex 분석 후에 다시 켜서 Power Off -> 메모리 덤프
Power Off
사라진 vmem 파일
vmem 파일 생성을 위해 다시 켜서 suspend
생성된 vmem 파일
메모리 덤프
Profile : Win7SP1x64
PID : 860
1. 검색어 : rambutan
2. 검색어 : eduwill
x
3. 방문 웹사이트 : http://www.eduwill.net/Basic/global_main.asp == www.eduwill.net
방문한 eduwill 뿐만 아니라, 인터넷 익스플로러를 켰을 때 가장 먼저 나오는 웹사이트인 msn 홈페이지 주소에 대한 정보도 나와있는 것을 알 수 있다.
또한, 에듀윌 홈페이지에 있는 로고 사진들에 대한 정보들도 나와있어 어느 홈페이지에 관련되어 있는지 유추가 가능하다.
4. 다운로드 한 사진 : img_award01.jpg
다운로드한 사진의 이름, 경로는 나와 있지만 어디서 다운받았는지, 다운받은 사진인지에 대한 정보는 나와 있지 않다.
| 메모리 덤프 (일반 모드) | 검색어 | 웹사이트 | 다운로드 한 사진 |
| 추출 여부 | △ | O | O |
| 설명 | eduwill은 안나옴 |
WinHex
1. 검색어 : rambutan
2. 검색어 : eduwill
3. 방문 웹사이트 : http://www.eduwill.net/Basic/global_main.asp
4. 다운로드 한 사진 : img_award01.jpg
| WinHex (일반 모드) | 검색어 | 웹사이트 | 다운로드 한 사진 |
| 추출 여부 | O | O | O |
결론
| 일반 모드 | 검색어 | 웹사이트 | 다운로드 한 사진 |
| 메모리 덤프 (suspend) | O | O | O |
| WinHex (suspend) | O | O | X |
| 메모리 덤프 (power off) | △ | O | O |
| WinHex (suspend) | O | O | O |
컴퓨터를 껐다가 키면 다운로드 한 사진이 원래 안떴다가, 나타나며 검색 기록 일부는 사라지는 것을 확인할 수 있다.
*다만, 언제 suspend하냐에 따라 편차가 있는 듯 하니 참고바람
'Forensics > 인터넷 익스플로러 아티팩트 분석' 카테고리의 다른 글
| [포렌식] 인터넷 익스플로러 아티팩트 분석 3편 (0) | 2020.07.24 |
|---|---|
| [포렌식] 인터넷 익스플로러 아티팩트 분석 2편 (0) | 2020.07.24 |
| [포렌식] 인터넷 익스플로러 아티팩트 분석 1편 (0) | 2020.07.17 |
| [포렌식] WebCacheV01.dat 데이터 수집 및 분석 - Inprivate 모드 (0) | 2020.07.16 |
| [포렌식] WebCacheV01.dat 데이터 수집 및 분석 - 일반 모드 (0) | 2020.07.15 |
