RadarURL
Skip to content
조회 수 174 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

『Digtal Forensic』/Forensics - Windows 2015.12.13 21:57

이번에는 웹 브라우저 사용 흔적에 대해 살펴보자. 인터넷이 안되고 심지어 게임도 삭제한 컴퓨터를 사용한다고 상상해보자. 아마 듣기만 해도 답답할 것이다. 최근 컴퓨터를 이용한 많은 작업이 대부분 인터넷을 활용하고 있다. 이로 인해 점점 더 사용자의 인터넷 사용흔적이 사건을 프로파일링하는데 중요해지고 있다.

사용자는 브라우저를 통해 인터넷을 접근하기 때문에 인터넷 사용흔적은 곧 브라우저의 사용흔적이다. 브라우저는 성능을 높이거나 사용자에게 편의를 제공하기 위해 사용흔적을 저장해둔다. 사용흔적의 저장과 활용 방식은 각 브라우저마다 서로 다르다. 결국, 웹 브라우저 사용흔적은 운영체제에 종속적이기보다는 웹 브라우저의 종류와 버전에 종속적이다.

윈도우 8에서 크롬, 파이어폭스, 사파리는 기존과 동일한 버전을 설치해 사용하면 되지만, 인터넷 익스플로러(이하 IE)는 기본적으로 버전 10이 설치되어 있다. 윈도우 7 환경까지 IE 9가 사용된만큼 윈도우 8에서의 웹 브라우저 사용 흔적은 기존과는 조금 다른 점이 있다. 기존의 IE 9에서 남기는 웹 브라우저 사용흔적은 다음과 같다.(윈도우 7 기준)

사용흔적 경로
캐시 %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\{Random}\{All Files}
히스토리 %LOCALAPPDATA%\Microsoft\Windows\History\History.IE5\index.dat
%LOCALAPPDATA%\Microsoft\Windows\History\History.IE5\{period}\index.dat
쿠키 %APPDATA%\Microsoft\Windows\Cookies\index.dat
%APPDATA%\Microsoft\Windows\Cookies\{All Files}
다운로드 목록 %APPDATA%\Microsoft\Windows\IEDownloadHistory\index.dat
아이콘 캐시 %LOCALAPPDATA%\Microsoft\Internet Explorer\xxxxxiconcache.dat
세션복원 정보 %LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{GUID}.dat
%LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\Last Active\RecoveryStore.{GUID}.dat
%LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{GUID}.dat
%UserProfile%\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Last Active\RecoveryStore.{GUID}.dat
호환성 목록 %LOCALAPPDATA%\Microsoft\Internet Explorer\IECompatData\iecompatdata.xml
HKU\Software\Microsoft\Intenet Explorer\BrowserEmulation\ClearbleListData\UserFilter
DOM 저장소 %LOCALAPPDATA%\Microsoft\Internet Explorer\DOMStore\index.dat

주요 사용흔적인 캐시, 히스토리, 쿠키, 다운로드 목록은 인덱싱되어 index.dat로 관리한다. 캐시에는 웹 사이트의 컨텐츠가 캐시되어 저장되고 히스토리에는 방문한 주소가 목록화된다. 히스토리의 주소를 파싱하면 사용자가 입력한 검색어 목록도 추출이 가능하다.

윈도우 8을 설치하고 기존과 동일하게 IE 흔적을 분석해보면 index.dat 파일을 찾을 수 없을 것이다. index.dat 뿐만 아니라 관련 데이터 파일도 존재하지 않는다. 독립된 각각의 파일에 관리하던 웹 브라우저 흔적을 IE 10에서는 하나의 파일로 통합했기 때문이다. 통합 파일은 다음 경로에 위치한다.

  • %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV##.dat(##은 숫자)

webcache.png

 

 

웹 캐시 파일(WebCacheV##.dat)은 ESE(Extensible Storage Engine) 데이터베이스 형식을 가지고 있다. ESE 형식은 JET Blue라고도 불린다. 원래 JET(Joint Engine Technology)는 마이크로소프트 액세스(Access)에서 사용되었던 기술로 초기 버전은 JET Red라고 불렀다. 이후 업그레이드되어 버전 2가 나오면서 JET Blue라는 이름을 가지게 되었다.

JET Blue 기술은 이후에 Exchange Server, Active Directory, File Replication Service(FRS), Windows Search 등에 사용되어 왔다. 최근의 윈도우 흐름을 보면 데이터베이스가 필요한 요소는 대부분 ESE 형식으로 변환하고 있으므로 ESE에 대해 지속적인 관심을 가질 필요가 있다.

ESE 데이터베이스 형식의 파일은 JET 엔진이 구동되고 있는 윈도우 환경이라면 간단히 JET API를 통해 쿼리할 수 있다. 또한 관련 도구도 많이 나와있으므로 분석에는 어려움이 없을 것이다. 대표적인 도구는 WOANWARE의 EseDbViewer이다. 다음은 EseDbViewer로 웹 캐시 파일의 내용을 살펴본 것이다.

esedbviewer.png

 

 

기존의 독립된 파일로 저장했던 사용흔적이 테이블 단위로 나뉘어 저장되어 있다. 각 테이블의 의미는 ‘Containers’ 테이블을 보면 알 수 있다. 하지만, EseDbViewer를 그대로 웹 브라우저 사용흔적 분석에 사용하기에는 다소 불편하다. 각 컨테이너(Container) 테이블의 의미를 교차확인해야 하고 각 테이블의 컬럼의 의미가 명확하지 않은 것들이 있기 때문이다. 그리고 웹 브라우저 흔적이 쌓여 용량이 클 경우에는 전체를 분석하는데 많은 시간이 걸릴 수 밖에 없다.

결과적으로 좀 더 손쉬운 분석을 위해서JET API를 이용해 테이블에 쿼리할 수 있는 기능을 지원하고, 전체 내용에 대한 통합 타임라인 분석이 필요할 것으로 본다. 최근 C#을 공부하는 중이라 시간이 나면 만들려고 계획 중이지만 계획한게 어디 한둘이랴! 관심있는 분들의 많은 참여 부탁드립니다. 편리한 도구를 만들어 배포해주셔도 고맙겠습니다.

 

출처 : http://forensic-proof.com

 

출처 : http://eniac-security.tistory.com/54

?

List of Articles
번호 제목 글쓴이 날짜 조회 수
204 윈도우10 작업표시줄 프리징 먹통 해결방법 JAESOO 2017.07.21 544
203 윈도우 속도 저하, 시스템 파일 손상, 이유없는 오류 - SFC, DISM으로 복구/해결 방법 JAESOO 2017.07.21 257
202 "ReadyBoot" 세션의 최대 파일 크기에 도달했습니다. JAESOO 2017.06.12 90
201 이벤트 뷰어 시스템 오류 해결 문의입니다. (DistributedCOM, 이벤트ID 10016) JAESOO 2017.06.12 449
200 Windows Run as Administrator로 실행한 프로그램에서 네트워크 드라이브 사용할 수 없을 때 JAESOO 2017.03.27 82
199 [윈도우] K, KN, N 버전 차이 JAESOO 2016.07.01 580
198 윈도우10 제품키 변경 프로그램을 이용한 정품인증받기 JAESOO 2016.07.01 1116
197 [윈도우10] 제품키로 정품인증 받기 완결판 2 JAESOO 2016.07.01 4197
196 윈도우 업데이트 후 시스템 용량이 많이 줄었다면 Download 폴더를 지워보자 JAESOO 2016.05.17 419
195 윈도우7 한글입력이 안될때 ctfmon.exe JAESOO 2016.03.12 644
194 Microsoft IME 입력기가 사라진 현상 JAESOO 2016.03.12 397
193 윈도우에서 특정 프로세스 강제 종료하는 방법 (taskkill) JAESOO 2016.02.19 300
» 윈도우 8 웹 브라우저 사용흔적 (Windows 8 Web Browser Artifacts) JAESOO 2016.02.12 174
191 '윈도우 7' 에서 폴더 여는 시간이 오래 걸린다면? JAESOO 2016.02.12 119
190 일부 업데이트가 설치되지 않았습니다 오류 해결 JAESOO 2016.01.22 308
189 윈도우(Windows) 8.1 최적화 Tip JAESOO 2015.03.18 726
188 윈도우(Windows) 8.1의 종류 JAESOO 2015.03.18 397
187 윈도우7의 숨겨진 강력한 제어판 - GodMode JAESOO 2015.03.04 648
186 윈도우 작업 관리자 메모리 열의 의미 JAESOO 2015.02.10 1486
185 이 웹 사이트의 보안 인증서에 문제가 있습니다 [보안 인증서오류] JAESOO 2015.02.10 5128
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 11 Next
/ 11

PageViews   Today : 303   Yesterday : 1,063   Total : 19,809,850  /  Counter Status   Today : 54   Yesterday : 314   Total : 1,421,338
Site Info   Member : 237  /  Total documents : 1,227   New documents : 0  /  Total comments : 24

Edited by JAESOO

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소