[Web Browser Artifacts]
Web Browser는 Chrome, Edge, Whale 등과 같이 인터넷을 이용하기 위해 실행하는 응용 프로그램을 말한다. Web Browser Artifacts에서 Web Browser의 데이터를 확인할 수 있는데 확인할 수 있는 데이터의 종류는 아래와 같다.
History: 방문한 URL, 방문 횟수, 방문 시각 등
Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
Cookie: 사용자 데이터, 자동 로그인 등
Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등
[Practice]
브라우저별 경로는 아래와 같다.
Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default
Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache
Whale: %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default
Chrome 아티팩트 분석을 위해 Chrome 경로로 들어가서 History 파일을 살펴본다. 해당 파일을 보기 위해 DB Browser for SQLite를 다운로드한다.
https://sqlitebrowser.org/blog/version-3-12-2-released
Version 3.12.2 released - DB Browser for SQLite
This is a minor maintenance release, primarily to update the internal certificates for anonymous communication with the DBHub.io servers. You don’t need to upgrade unless you’re using DBHub.io anonymously. If you’re using DBHub.io with your own clien
sqlitebrowser.org
데이터 보기 탭을 눌러 downloads, urls, visits를 확인한다.
downloads에서 언제 다운로드 했는지, 다운로드 후 어디에 저장되었는지, 언제 접근했는지 등을 알 수 있다.
downloads의 id 필드를 기반으로 downloads_url_chains를 확인하면 다운로드가 진행된 URL을 알 수 있다.
urls에서 어떤 URL에 접속했는지, 접속 횟수, 마지막 접속 시간 등을 확인할 수 있다.
urls의 id 필드를 기반으로 visits를 확인하면 전체적인 URL 접속 시간, 얼마만큼 해당 URL에 접속했는지 등을 알 수 있다.
Edge 아티패트 분석을 위해 Edge 경로로 들어가서 WebCacheV01.dat 파일을 살펴본다.
FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 WebCacheV01.dat를 추출한다. 해당 파일을 보기 위해 ESEDatabaseView를 다운로드한다.
https://www.nirsoft.net/utils/ese_database_view.html
View / Open ESE Database Files (Jet Blue / .edb files)
ESEDatabaseView is a simple utility that reads and displays the data stored inside Extensible Storage Engine (ESE) database (Also known as Jet Blue or .edb file).
www.nirsoft.net
ESEDatabaseView를 통해 WebCacheV01.dat 파일을 열어보면 Edge에 대한 전체적인 데이터를 확인할 수 있다.
Containers에서 컨테이너 별로 Time Data, 접속 횟수 등을 확인할 수 있다.
세부적인 아티팩트 분석을 위해 BrowsingHistoryView를 다운로드한다.
https://www.nirsoft.net/utils/browsing_history_view.html
View the browsing history of your Web browser
View the browsing history of all major Web browsers (Firefox, Chrome, Internet Explorer, and more) in one table.
www.nirsoft.net
Filter by visit date/time을 anytime으로 설정하면 PC 내에 존재하는 모든 브라우징 히스토리를 불러오게 된다.
어떤 웹 브라우저로 접속했는지, 접속 횟수, Time Data 등을 확인할 수 있다. 여러 브라우저를 통합해서 보여준다는 장점이 존재하지만, BrowsingHistoryView에서는 History 정보만을 확인할 수 있다는 단점이 존재한다.
따라서 브라우저 별로 권장되는 도구가 존재하는데 Chrome의 경우 ChromeCacheView와 Hindsight가 권장되고, Edge의 경우 IE10Analyzer와 ESEDatabaseView가 권장된다. Whale의 경우 Carpe Forensics가 권장된다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| Windows Timeline 개념 및 실습 (0) | 2022.07.29 |
|---|---|
| ThumbnailCache & IconCache 개념 및 실습 (0) | 2022.07.29 |
| MUICache, AmCache, ShimCache 개념 및 실습 (0) | 2022.07.28 |
| Prefetch 개념 및 실습 (0) | 2022.07.28 |
| Jumplist 개념 및 실습 (0) | 2022.07.28 |
