브라우저 아티팩트 개념, 실습

Digital Forensics

해당 포스트에는 Windows Forensic에서의 브라우저 아티팩트에 대한 개념 간단한 실습 내용을 담고 있습니다.

---

1. Web Browser

• 인터넷을 이용하기 위해 실행되는 응용 프로그램

• 브라우저를 통해 하는 일들
  • 웹 검색
  • 로그인
  • 파일 다운로드
  • 영상 시청

 

Web Browser Artifacts

• History: 방문한 URL, 방문 횟수, 방문 시각 등
• Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
• Cookie: 사용자 데이터, 자동 로그인 등
• Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등

---

Tools

• 브라우저별 경로
  • Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
  • Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
  • whale: %UserProfile%\AppData\Naver Whale\User Data\Default\
• Chrome 아티팩트 분석
  • History - 여기서는 History만 분석해보자
  • Cache
  • Top Sites
  • Shortcuts
  • Bookmarks
  • Last Tabs

DB Browser for SQLite를 실행 후 아래 경로에 History 파일을 드래그 해준다.

History

후에 상세히 크롬을 통해 다운로드 한 내역을 보고 싶으면 데이터베이스 구조 옆 데이터 보기 클릭 후 테이블에서 downloads를 클릭 하면 아래와 같이 다운로드 한 경로 파일 등의 정보를 볼 수 있다.

그 외에도 같은 방식을 통해 Cache나 Top Site의 정보를 볼 수 있다. 추가로 테이블에서 downloads만 보는 것이 아니라 다 다양하게 연계를 해서 조사를 할 수 있다.

• Edge 아티팩트 분석
  • WebCacheV01.dat - Edge는 Chrome과 달리 거의 모든 아티팩트의 정보를 한 곳에 담고 있다.
• 해당 파일은 편의상 FTK Imager로 추출 후 넣어주어야 한다.

FTK Imager

ESEDatabaseView