Notice
Recent Posts
Recent Comments
«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
Tags
more
Archives
Today
Total
관리 메뉴

CHIqueen

브라우저 아티팩트 - 네이버 웨일 본문

포렌식/Analysis

브라우저 아티팩트 - 네이버 웨일

CHIqueen 2018. 5. 8. 15:06

웹 브라우저 아티팩트


네이버 웨일 브라우저


분석 환경 : Windows 10 Home x64

웨일 버전 : 1.0.41.8 (64-bit)

네이버 웨일이랑 구글 크롬이랑 AppData구조가 비슷하다.

웨일 : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data

크롬 : %UserProfile%\AppData\Local\Google\Chrome\User Data



Defalut폴더 안에 구조도 상당히 비슷한데 크롬이 훨씬 복잡하다. 둘다 똑같이 sqlite3 데이터 베이스를 사용한다.

+ 추가 참고 구글 크로미움 프로젝트 : https://www.chromium.org/



접속 기록(History) : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\History


urls란 테이블에 접속 기록이 기록되어 있다.


추가적으로

title : 웹사이트 제목

visit_count : 방문 횟수

last_visit_time : 마지막 방문 시간(Unix time(epoch time)으로 저장되어 있다)


쿠키(Cookie) : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\Cookies


cookies란 테이블에 기록 된것을 알 수 있다. 쿠키 값은 알 수 없었다.


추가적으로

creation_utc : 쿠키 생성 시간

host_key : 도메인

name : 쿠키 이름

value : 쿠키 값

path : 경로

expires_utc : 쿠키 만료 시간

last_access_utc : 쿠키 마지막 접근 시간


파비콘(Favicon) : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\Favicons

웹 페이지 파비콘이 저장된 경로를 기록한다.


로그인 데이터(Login Data) : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\Login Data

사용자가 웹 사이트에 로그인후 웹 브라우저가 로그인 정보를 저장하시겠습니까? 할 때 저장 되는 것으로 추측된다.

password_value를 보면 BLOB으로 볼 수 없게 되어있다.

hex editor로 열어보고 드래그한 부분이 password_value부분이다. 암호화 된것을 볼 수 있다.

python으로 win32crypt란 모듈로 크롬 Login Data 복호화를 시도해보고 github에 올라와 있는 코드들이 있다. 왜 인지는 모르겠지만 웨일에선 복호화가 안된다. 나중에 크롬에서 시도해보고 포스팅을 하겠다.

https://gist.github.com/jordan-wright/5770442

"""

data = win32crypt.CryptUnProtectData(password)[1] #github에서 소스를 보면 인자 값을 5개를 전달하는데 하나면 충분하다.

"""

win32crypt.CryptProtectData로 암호화하고 win32crypt.CryptUnProtectData로 복호화가 가능하다.


현재 탭, 마지막 탭, 마지막 세션(Current Tabs, Last Tabs, Last Session) : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\~


Current Tabs, Last Tabs, Last Session 이 세가지 파일의 파일 시그니처를 보면 SNSS(53 4E 53 53) 인데 처음보는 시그니처라 찾아 보고 물어 봐서 알아낸것이 https://github.com/chromium/chromium/blob/1d08c0929ca6be7e3bef9d801602fe08748c9676/components/sessions/core/session_backend.cc#L26https://github.com/chromium/chromium/blob/1d08c0929ca6be7e3bef9d801602fe08748c9676/components/sessions/core/session_backend.cc#L26 에서 나온 것이다. 딱히 뷰어나 볼 수 있는게 없고 그냥 간단히 문자열을 추출 할 수 있을거 같아서 strings.exe로 꺼내서 볼 수 있다.


웨일 확장 프로그램

웨일 확장 프로그램은 %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\Extensions 안에 있다


이렇게 외계어로 귀찮게 되어 있는데 일일이 다 들어가서 뭔지 확인 하면된다.

첫번째 fakkbgbaojmoojmlgddealabpahehofh 는 1.1.4버전의 네이버 메모앱 이였고

두번째 fgjhgmbkbffhjogahkckmbfhnjpaiaed 는 2.4.64버전의 뮤직앱 이었다.

세번째 pkedcjkdefgpdelpbcmbmeomcjbeemfm 는 6117.717.0.4버전의 크롬 캐스트앱 이었다. 대체 웨일에 크롬 캐스트가 있는지 의문 이었다.


메모랑 밸리랑 퀵서치 기록 같은게 남기를 바랬지만 아직 찾지 못하였다.

메모는 네이버에 로그인해 모바일 네이버 메모화면을 가져오는 것 같았다.




'포렌식 > Analysis' 카테고리의 다른 글

최근 실행 흔적 찾기  (0) 2018.12.19
FileZilla 아티팩트  (0) 2018.09.11
PowerShell HIstory 파워쉘 명령어 기록  (0) 2018.09.08
Discord 아티팩트  (0) 2018.08.21
크롬, 웨일 로그인 데이터  (0) 2018.05.11
Comments