Page info
- Page type : PFP Reference
- Knowledge location : 1. Windows System Analysis >> Artifact Analysis >> Web Artifact
- Other Reference : http://portable-forensics.com/document.html
- PFP & Manual downLoad : http://portable-forensics.com/download.html
Image from http://cappleblog.co.kr/556 |
이제는 인터넷이 연결되지 않은 컴퓨터는 반쪽짜리에 불과하다는 것이 정설인 만큼 1990년대 인터넷의 보급이 시작된 이래, 이제는 인터넷에 연결되어 있지 않은 컴퓨터는 그 효용성조차 의심이 되는 지경이다.
이에 따라, 응용프로그램 역시 인터넷 연결이 보장된 환경에서 사용될 것을 전제하에 개발되고 있다. 인터넷을 통한 자동 업데이트는 물론 클라우드라는 개념을 통해 인터넷에 통해 사용하는 스토리지나 어플리케이션 서비스도 크게 활성화 되고있다.
중요한 것은, 이러한 인터넷 서비스가 특별한 경우를 제외하고는 대부분 웹 브라우저를 통해 제공된다는 것이다. 실제로 요즈음 컴퓨터 사용자들은 사소한 정보라도 대부분 인터넷을 통해 획득하는 경우가 많고, 심지어 범죄자가 범행을 위한 사전정보조차도 인터넷을 통해 얻는 경우도 있다.
또한, HTTP 통신은 간편한 구현과 사용성 만큼 취약점도 많이 존재하여, 악의적 공격자들의 주 공격대상이 되곤 한다. 이러한 이유로, 침해사고 흔적을 분석할 때 대부분의 최초 유입 경로 혹은 추가적인 악성코드의 유입 여부 등이 웹 브라우저와 관련된 흔적에서 발견되는 경우가 많다.
결과적으로 웹 아티팩트에 관한 분석 결과는 '집적 증거'는 되기 힘들지만, 사건 해석에 대한 '정황 증거'로서 매우 유용하게 활용된다는 점을 기억하자. 따라서 사건의 방향을 잡거나 큰 그림을 그리는데 활용할 수 있도록 꼭 관련된 분석 도구와 흔적의 위치를 미리 숙지할 필요가 있겠다.
웹 브라우저의 주요 분석 사항
웹 브라우저를 이용하면, 방문하는 웹 페이지의 구현 상태에 따라 다양한 흔적이 남게 된다. 포렌식 조사를 위해 주로 확인하는 정보는 아래와 같다. 대부분 방문한 URL 흔적과 송수신된 인자를 분석하여 검색어 등을 찾는데 이용되지만, 각각의 정보가 가지는 의미가 다소 다르므로 한번쯤 짚고 넘어가도록 하자.
.
- Web History : 웹 히스토리에서 찾을 수 있는 정보는 사용자가 '직접 방문'한 웹 사이트의 접속 기록이라는 점에서 의미를 갖는다. 본 목적은 사용자에게 웹 사용에 관한 편의를 제공하기 위한 것이지만, 웹 서핑시 자동으로 방문하게되는 여러 경유페이지 등의 경로와 구분될 수 있다는 점을 기억하자.
.
※Web History 제공정보 - URL, 접속 시간, 접속 횟수, 페이지 Title
.
- Cache : 웹 캐시는 웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터이다. 본래는 네트워크 통신 속도가 매우 느렸던 시절, 조금이나마 원활한 웹 서핑 환경을 제공하기 위해 사용하던 기술로, 기존에 방문하였던 웹 사이트를 재 방문할 때 변경되지 않은 정보는 다운 받지 않고 캐시에서 로딩하는 방식을 이용하기 위해 설계된 기술이다. 캐시에는 이미지파일, 텍스트파일, 아이콘, HTML파일, XML파일, 스크립트 파일 등 웹 페이지를 표현하기 위한 데이터들이 다양하게 저장되어 있다. 또한 페이지 설계에 따라 자동으로 데이터를 다운로드 받는 기술이기 때문에 교묘하게 변조되어 악성 파일을 다운로드 하거나 악성 페이지에 접근하는데 이용될 수도 있음을 기억하자.
.
※Web Cache 제공정보 - 접속 URL, 캐시 파일 정보(저장 시간, 파일명, 타입, 크기, 경로)
.
- Cookie : HTTP는 기본적으로 데이터를 주고 받을 때 각각의 송.수신이 독립적으로 이루어질 수 있도록 설계되었다. 이는 가볍고 빠른 웹 통신을 가능하게 하였지만 사용자가 접속을 꾸준히 유지해야 하는 상황에는 굉장히 불리한 구조이다. 최근에는 세션이라는 개념을 통해 웹 어플리케이션에서 접속 상태를 유지할 수 있지만, 본래에는 이를 쿠키라는 임시 저장소를 만들어 사용자 정보를 잠시 저장해 둠으로써 해결하였다. 보안상의 이유로 쿠키에 자세한 정보를 저장하는 것은 지양되었지만, 사용방법이 간단하기 때문에 아직도 쿠키는 자주 사용되고 있으며, 정보를 사용자 시스템에 저장하기 때문에 History와 마찬가지로 방문한 페이지에 대한 정보를 제공하기도 한다. 쿠키에서 확인되는 URL 역시 사용자가 직접 방문한 사이트일 가능성이 높다는 추정이 가능한 것이다.
.※Web Cookie 제공정보- 호스트 경로, 쿠키 수정시간, 쿠키 만료시간, 이름, 값
.
- Download File List :
웹브라우저는 웹에서 다운로드 받은 파일의 안정적인 전송과 이력을 관리하기 위해 다운로드되는 파일의 목록을 관리하곤 한다. 단순히 다운로드 된 파일의 목록을 확인하는 것도 의미가 있지만, 여기서는 사용자가 웹 브라우저를 통해 직접 다운로드한 파일의 정보가 기록되는 것임을 염두에 두자. 취약점을 이용하여 의도치않게 다운로드 된 파일과의 구분 등에 이용할 수 있을 것이다.
.
※Download list 제공정보 - 파일이 저장된 경로, 다운로드 URL, 파일 크기, 시간, 정상 다운로드 여부 등
.
분석 대상(Target)
Target Path(Location)
|
%UserProfile%\Favorites\
|
Check List
|
User Favorites
|
Related Tools
|
FAView
|
인터넷 익스플로러의 즐겨찾기가 저장되는 경로로, 익스플로러를 이용하는 사용자가 주로 방문하는 웹 사이트의 정보 취득 가능성이 높으므로 가볍게 살펴볼 필요가 있다.
Target Path(Location)
|
[Vista and more over]
[IE10 Cache and History] %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\ [Cache] %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ [History] %UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat %UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist ###################\index.dat [Cookies] %UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\index.dat %UserProfile%\AppData\Roaming\Microsoft\Windows\Cookies\ [Download] %UserProfile%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat
[XP and lower]
[Cache] %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.* %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\index.dat %UserProfile%\Local Settings\Temporary Internet Files\Content.IE\ [History] %UserProfile%\Local Settings\History\History.IE5\index.dat %UserProfile%\Local Settings\History\History.IE5\ [Cookies] %UserProfile%\Cookies\index.dat %UserProfile%\Cookies\ |
Check List
|
Web History Log
Cache Log Cookie Log Download File List |
Related Tools
|
[Public] Web Browser
IECookiesView
IEHistoryView IECacheView MyLastSearch BrowsingHistoryView WEFA |
5대 웹 브라우저 - Internet Explorer 관련 흔적
Target Path(Location)
|
[Vista and more over]
[Cache] %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cache\ [History, Download] %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\History\History Index [Cookie] %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Cookies
[XP and lower]
[Cache] %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\*.* [History, Download] %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\History %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\History Index [Cookie] %UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies |
Check List
|
Web History Log
Cache Log Cookie Log Download File List |
Related Tools
|
[Public] Web Browser
ChromeHistoryView ChromeCacheView MyLastSearch BrowsingHistoryView WEFA |
5대 웹 브라우저 - Chrome 관련 흔적
Target Path(Location)
|
[Vista and more over]
[Cache] %UserProfile%\AppData\Local\Mozilla\Firefox\Profiles\ [History] %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\ [Cookie] %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\ [Download] %UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\ [XP and lower] [Cache] %UserProfile%\Local Settings\Application Data\Mozilla\Firefox\Profiles\ [History] %UserProfile%\Application Data\Mozilla\Firefox\Profiles\ [Cookie] %UserProfile%\Application Data\Mozilla\Firefox\Profiles\ [Download] %UserProfile%\Application Data\Mozilla\Firefox\Profiles\ |
Check List
|
Web History Log
Cache Log Cookie Log Download File List |
Related Tools
|
[Public] Web Browser
MozillaCookieView MozillaHistoryView MozillaCacheView MyLastSearch BrowsingHistoryView WEFA |
5대 웹 브라우저 - Firefox 관련 흔적
Target Path(Location)
|
[Vista and more over]
[Cache] %UserProfile%\AppData\Local\Apple Computer\Safari\Cache.db [History] %UserProfile%\AppData\Roaming\Apple Computer\Safari\History.plist [Cookie] %UserProfile%\AppData\Roaming\Apple Computer\Safari\Cookies\Cookies.plist [Download] %UserProfile%\AppData\Roaming\Apple Computer\Safari\Downloads.plist
[XP and lower]
[Cache] %UserProfile%\Local Settings\Application Data\Apple Computer\Safari\Cache.db [History] %UserProfile%\Application Data\Apple Computer\Safari\History.plist [Cookie] %UserProfile%\Application Data\Apple Computer\Safari\Cookies\Cookies.plist [Download] %UserProfile%\Application Data\Apple Computer\Safari\Downloads.plist |
Check List
|
Web History Log
Cache Log Cookie Log Download File List |
Related Tools
|
[Public] Web Browser
SafariHistoryView SafariCacheView MyLastSearch BrowsingHistoryView WEFA |
5대 웹 브라우저 - Safari 관련 흔적
Target Path(Location)
|
[Vista and more over]
[Cache] UserProfile%\AppData\Local\Opera\Opera\cache\dcache4.url [History] %UserProfile%\AppData\Roaming\Opera\Opera\global_history.dat [Cookie] %UserProfile%\AppData\Roaming\Opera\Opera\cookies4.dat [Download] %UserProfile%\AppData\Roaming\Opera\Opera\download.dat
[XP and lower]
[Cache] %UserProfile%\Local Settings\Application Data\Opera\Opera\cache\dcache4.url [History] %UserProfile%\Application Data\Opera\Opera\global_history.dat [Cookie] %UserProfile%\Application Data\Opera\Opera\cookies4.dat [Download] %UserProfile%\Application Data\Opera\Opera\download.dat |
Check List
|
Web History Log
Cache Log Cookie Log Download File List |
Related Tools
|
[Public] Web Browser
OperaCacheview
WEFA |
5대 웹 브라우저 - Opera 관련 흔적
댓글 없음:
댓글 쓰기
질문이나 조언은 언제든 환영입니다.
악의적 댓글이나 무조건적인 비방은 삼가주세요.