파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석

1. 검색 기록

 

일반 모드에서 apple 검색 후 프로세스 비종료한 채로 일시정지

imageinfo 명령어를 통해 profile 정보를 얻는다

이후 pslist 명령어를 통해 프로세스 리스트를 출력한다 

firefox 관련 여러 개의 프로세스가 생성된 것을 확인

 

 

memdump 명령어를 통해 firefox.exe의 PID 1536의 덤프파일을 만들어준다

 

dmp 파일을 txt 파일로 바꿔주기 위해 strings.exe 설치

 

https://docs.microsoft.com/ko-kr/sysinternals/downloads/strings

Strings - Windows Sysinternals

 

string.exe를 이용하여 덤프 파일의 내용을 메모장에 옮겨 줌

 

 

검색 기록과 검색한 사이트가 메모리 덤프에 저장된 것을 확인

 

 

 

 

같은 방법으로

시크릿모드에서 candy 검색 후 프로세스 비종료한 채로 일시정지

 

이후 pslist 명령어를 통해 프로세스 리스트를 출력한다

일반 모드 때와 마찬가지로 firefox 관련 여러 개의 프로세스가 생성된 것을 확인

 

 

memdump 명령어를 통해 firefox.exe의 PID 2156의 덤프파일을 만들어주고 txt 파일로 변환

 

일반 모드와 마찬가지로 검색 기록과 검색한 사이트가 메모리 덤프에 저장된 것을 확인

 

 

 

 

일반 모드에서 sorry 검색 후 브라우저 창 닫고 10분 경과 후 일시정지

 

파이어 폭스와 관련된 프로파일이 하나만 생성

 

 

 

덤프 파일에서 검색한 sorry  발견+검색 기록까지 출력

 

 

+새로 일반 모드에 weeekly를 검색해서 실습해 봄

vmem 파일을 HxD로 분석

 

 

검색 내용 출력

 

 

 

 

 

시크릿모드에서 happy 검색 후 브라우저 창 닫고 10분 경과 후 일시정지

 

 

일반 모드와 마찬가지로 프로세스가 하나만 생성

 

덤프 파일에서 검색한 happy 출력 마찬가지로 검색 기록까지 출력

 

 

 

+새로 시크릿 모드에 gfriend를 검색해서 실습해 봄

vmem 파일을 HxD로 분석

 

검색 내용 출력

 

 

 

 

 

2. 유튜브 시청기록

일반 모드에서 유튜브 시청 후 브라우저 창 닫고 10분 경과 후 일시정지

검색 기록, 시청 기록 모두 남아 있음

 

 

 

 

시크릿 모드에서 유튜브 시청 후 브라우저 창 닫고 10분 경과 후 일시정지

 

 

시청 기록, 검색 기록, 시청 영상 이름 모두 남아 있음

 

 

3. 다운로드

일반 모드에서 사진 다운받은 후 브라우저 창 닫고 10분 경과 후 일시정지

 

저장 경로 

Desktop\subin\DoG.jpeg

사진 이름, 사진 저장 경로 모두 남아 있음

 

 

 

 

시크릿모드에서 사진 다운받은 후 브라우저 창 닫고 10분 경과 후 일시정지

 

저장 경로 

Desktop\subin\CatS.jpeg

 

 

 

사진 이름, 사진 저장 경로 모두 남아 있음