INCOGNITO6 파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석(3) mft에서 저장 위치까지 저장 그러나 hemish에 대한 정보는 x 시크릿 모드 메일 제목은 뜸 발신자 정보는 뜨지 X pepsi 검색 url + 검색 결과 출력 서울여자대학교 공식 홈페이지만 뜸 => 로고 다운 2020. 8. 3. 파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석(2) 1. 일반 모드에 pepsi 검색 >> CACHE 분석 캐시 파일 생성된 것을 확인(캐시가 35개나 생성) (1). 검색 기록, 검색 키워드 확인 (2) DATE: 접속 시간 확인 (3) content-type >> History 분석 C:\Users\사용자이름\AppData\Roaming\Mozilla\Firefox\Profiles\gu62w0z7.default-release\places.sqlite SQLITE 파일을 가지고 분석 방문했던 사이트 고유의 url들이 저장되는 moz_places 테이블 데이터를 확인 => 일반 모드에서 pepsi 검색한 기록 확인 >> COOKIE 분석 쿠키 파일 생성됨 2. 시크릿 모드에 coca 검색 >> CACHE 분석 캐시 파일 증가 X 캐시 파일에서 분석 불가능.. 2020. 7. 31. 파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석 일반 모드에서 pretty 검색 후 재부팅하고 서스펜드한 결과 분석 검색 결과 출력됨 HxD에서 분석해 보면 Google에서 pretty 검색한 사실 출력 시크릿 모드에서 pretty 검색 후 재부팅하고 서스펜드한 결과 분석 검색 결과 출력되지 X HxD에서 분석해 봐도 결과 출력 X 일반 모드에서 이메일 전송 뒤 재부팅하고 서스펜드한 결과 분석 로그인한 아이디랑 비밀번호 확인 (비밀번호는 암호화) 시크릿 모드에서 이메일 전송 뒤 재부팅하고 서스펜드한 결과 분석 로그인한 아이디 출력 x 2020. 7. 28. 파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석 1. 검색 기록 일반 모드에서 apple 검색 후 프로세스 비종료한 채로 일시정지 imageinfo 명령어를 통해 profile 정보를 얻는다 이후 pslist 명령어를 통해 프로세스 리스트를 출력한다 firefox 관련 여러 개의 프로세스가 생성된 것을 확인 memdump 명령어를 통해 firefox.exe의 PID 1536의 덤프파일을 만들어준다 dmp 파일을 txt 파일로 바꿔주기 위해 strings.exe 설치 https://docs.microsoft.com/ko-kr/sysinternals/downloads/strings Strings - Windows Sysinternals Search for ANSI and UNICODE strings in binary images. docs.microsof.. 2020. 7. 24. 이전 1 2 다음
