Web Browser Artifacts

• 인터넷을 이용하기 위해 실행하는 응용 프로그램
• 브라우저를 통해 하는 일들
  • 웹 검색
  • 로그인
  • 파일 다운로드
  • 영상 시청

​

• 브라우저 아티팩트란?
  • History : 방문한 URL, 방문 횟수, 방문 시각 등
  • Cache : 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
  • Cookie : 사용자 데이터, 자동 로그인 등
  • Download list : 저장 경로, URL, 크기, 시간, 성공 여부 등

​

Chrome 아티팩트 분석

• History / 실습 대상
  • history를 보기 위해 필요한 도구 : DB Browser for SQLite / https://sqlitebrowser.org/
• Cache
• Top Sites
• Shortcuts
• Bookmarks
• Last Tabs

​

history 분석

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\

해당 폴더를 드래그 앤 드롭으로 DB 도구에 넣어주면

이렇게 열린다.

첫 화면에는 데이터 베이스 구조 정보가 나오는데, 우리가 볼 정보는 [데이터 보기] 섹션에 있으므로 클릭하여 넘어간다.

<Download 테이블>

• 언제 저장되었는지, 어디에 저장되었는지, 언제 시작 되었는지, 크기가 얼마였는지, 마지막 변경 시간은 언제인지, 타입 등등에 대한 정보를 볼 수 있다.
• start time과 end time은 dcode로 변환해서 확인할 수 있다.

​

<urls 테이블>

• 사용자가 어떤 url에, 언제 접속했는지에 대한 정보를 볼 수 있다.
• urls에서 ID를 확인하고 그 ID를 visits에 대조하여 살펴보면 더 정확한 정보를 추측해볼 수 있다.

​

EDGE 아티팩트 분석

%UserProfile%\AppData\Local\Microsoft\Windows\WebCache

​

• WebCacheV01.dat

• ESEDatabaseView
  • https://www.nirsoft.net/utils/ese_database_view.html

​

도구를 다운로드 받은 후 WebCacheV01.dat 파일을 드래그 앤 드롭으로 던져준다.

그럼 오류가 발생하는데, 이유는 윈도우에서 이 파일을 계속 잡고 있기 때문이다.

해결해주기 위해서는 먼저 ftk imager로 추출을 해야한다.

​

ftk imager로 %UserProfile%\AppData\Local\Microsoft\Windows\WebCache경로에 들어온다.

• WebCacheV01.dat 파일을 export files 해준다.

​

추출된 파일을 도구에 던지면 이번에는 오류없이 잘 실행된 것을 확인할 수 있다.

​

DB인만큼 테이블들이 굉장히 많은데,

캐시를 가진 AppCacheEntryEx테이블과 바이너리 값들을 가진 BlobEntry,

일반적인 데이터들을 갖고 있는 Container, 쿠키를 담고 있는 CookieEntry, 의존성 관련 Dependency 등의 테이블들을 볼 수 있다.

​

Containers 테이블에 가면 어떤 컨테이너에서 어떤 정보를 담고있는지에 대해 간단한 정보를 얻을 수 있다.

​

예를 들어, history의 containerID는 5번이므로 따라가보면

실제로 내가 열어보았던 pdf들과 url 정보 history를 확인할 수 있다.

​

BrowsingHistoryView

https://www.nirsoft.net/utils/browsing_history_view.html

 

​

도구를 다운로드하고 실행하면

다음과 같은 화면이 뜬다.

​

맨 위의 filter에서는 anytime(모든 브라우징 히스토리) or 기간 선택 등의 기능을 제공한다.

체크 표시된 항목을 보면 이 도구가 많은 웹 브라우저를 지원하고 있는 것을 알 수 있다.

​

ok 를 누른 후 실행하면

이렇게 URL, visit time, visit count, type들, web browser 등의 데이터들이 보인다.

​

이 도구는 가시성이 좋고 웹브라우저들을 통합하여 볼 수 있다는 장점이 있으나,

history 정보만 볼 수 있고 cache, cookie, download list 정보를 알 수 없다는 점에서 아쉽기도 하다.

​

추가 정보는 각 브라우저의 도구에서 확인 가능하다.

 

• Chrome
  • ChromeCacheView(캐시분석), Hindsight(크롬의 아티팩트들을 자세히 분석 가능한 도구)
• EDGE
  • IE10Analyzer, ESEDatabaseView
• Whale
  • Carpe Forensics