Forensics/인터넷 익스플로러 아티팩트 분석7 [포렌식] 인터넷 익스플로러 (Internet Explorer 10) 일반모드에서 아티팩트 분석 - 메모리 덤프 파일과 WinHex 사용편 상황 1) 다른 검색 결과와 겹치지 않게 특이한 단어를 골라 분석했다. *환경 : 가상머신, window 7 일반모드 1. 검색어 : rambutan 2. 검색어 : eduwill 3. 웹사이트 방문 : www.eduwill.net/Basic/global_main.asp 4. 사진 저장 : img_award01.jpg 경로 : C:\Users\sue\Pictures 시크릿 모드 5. 검색어 : jabuticaba 6. 검색어 : ggpolice 7. 웹사이트 방문 : www.ggpolice.go.kr/ 8. 사진 저장 : main_fl_02.jpg 경로 : C:\Users\sue\Pictures 9. 모든 인터넷 창 끄고 30분 대기 10. suspend *가상머신에서 suspend는 실제 컴퓨터를 끄지.. 2020. 8. 6. [포렌식] 인터넷 익스플로러 아티팩트 분석 3편 상황 설명 일반 모드와 시크릿 모드 모두에서 각각 검색어를 입력하고, 다운로드를 하나씩 받음. 창을 모두 끄고 10분이 지난 후 suspend. 그리고 메모리 덤프 실행 검색기록 [일반모드] hello my name is naver 검색 [시크릿 모드] i'm hungry 검색 다운로드 기록 [일반 모드] pdf download 검색 후, korean 버전 다운 [시크릿 모드] pdf download 검색 후, english 버전 다운 일반 모드 & 시크릿 모드 - 윈도우 7버전이라, 인터넷 익스플로러로 영상을 볼 수 없음 (지원 안됨) 모든 창을 끄고 10분 후에 볼라틸리티로 메모리 덤프 시행 (pid : 2796) 아티팩트 분석 [일반모드] 검색 기록 존재 다운로드 기록 존재 [시크릿 모드] 검색 기.. 2020. 7. 24. [포렌식] 인터넷 익스플로러 아티팩트 분석 2편 상황 설명 일반 모드와 시크릿 모드 모두 검색하고, 파일을 다운받고, 영상을 시청함. 창을 닫지 않고 바로 suspend 후 메모리 덤프 실행. 일반 모드 (1) 검색 기록 : "mp3 download" 검색 (2) 다운로드 기록 : 아래 사진 속 mp3파일 다운로드 (3) 영상시청 기록 : 아래 사진 속 영상 시청 시크릿 모드 (1) 검색 기록 : bts mp3 download 검색 (2) 다운로드 기록 : 다음 사진과 같은 mp3 파일 다운 (3) 영상 시청 기록 : 다음 사진과 같은 영상 시청 메모리 덤프 pslist로 인터넷 익스플로러 프로세스의 pid를 알아낸다. iexplore.exe - 인터넷 익스플로러 프로세스 explorer.exe - 윈도우 탐색기 프로세스 아티팩트 분석 일반 모드 (1.. 2020. 7. 24. [포렌식] 인터넷 익스플로러 아티팩트 분석 1편 vmware에서 인터넷 익스플로러를 사용하여 일반 모드에서 asdfjkl;를 검색한다. 그리고 시크릿모드를 켜서 hihi를 검색한다. 생성된 vmem 파일을 확인한다. vmware를 빠져나와 볼라틸리티로 imageinfo를 수행한다. Profile : Win7SP1x64 pslist : 프로세스를 점검할 수 있는 프로그램. 현재 시스템에서 실행 중인 프로세스 목록을 출력한다. 출력된 PID 정보를 가지고 메모리 덤프를 수행할 것이다. 인터넷 익스플로러와 관련있어보이는 1884를 덤프해보자. 명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] memdump -p [Pid] -D ./ memdump 명령어를 실행하면, 현재 폴더에 덤프 파일이 생성된다. 덤프 파일을 우리가 읽을 수.. 2020. 7. 17. [포렌식] WebCacheV01.dat 데이터 수집 및 분석 - Inprivate 모드 시크릿 모드에서 아티팩트 분석은 어떤지 살펴보자. 설정->안전->Inprivate 브라우징을 클릭하면 시크릿 모드가 실행된다. dirty 상태가 더 많은 기록이 남는다는 소리를 들어 dirty 상태에서 한 번, clean 상태에서 한 번 진행해보겠다. 분석도구 : IE10Analyzer WebCacheV01.dat 파일의 Carving 과정을 거쳐 분석을 진행 1-1. dirty 상태 시작-cmd-관리자 권한으로 실행 작업관리자 - com surrogate 작업 종료 다시 xcopy 복사한 WebCacheV01.dat가 있는 곳에서 cmd창 켜기 [PrivateBrowsing] : 시크릿 모드 사용 결과 1-2. Clean 모드 .. 아닌 것 같다. 두가지 결과를 종합해보면, content 항목이 가장 .. 2020. 7. 16. [포렌식] WebCacheV01.dat 데이터 수집 및 분석 - 일반 모드 1. 데이터 수집 WebCacheV01.dat를 처음엔 바로 찾을 수 있었는데, 나중에 되니까 무슨 문제인지 찾을 수 없었다. 그러다 인터넷 익스플로러를 킨지 2시간만에 찾을 수 있었는데, (가설 1: 아티팩트 파일은 해당 브라우저를 사용한지 2시간 후에 생성?) 폴더에서는 못찾고 파일 이름을 검색을 해야 나왔다. 무슨 일인지는 모르겠지만 경로는 다음과 같다. C:\Users\(유저이름)\AppData\Local\Microsoft\Windows\WebCache WebCacheV01.dat 수집 방법은 다음 블로그를 참고한다. https://blog.naver.com/gyurse/220253178395 [TIP] WebCacheV01.dat 수집 & 분석 방법 IE 10 이상부터 모든 인터넷 로그는 %Lo.. 2020. 7. 15. 이전 1 2 다음
