본문 바로가기
포렌식/웹 포렌식

1. 웹 아티팩트

zoome22 2022. 11. 2. 20:43

 

웹 포렌식(Web forensic)이란 어떤 것일까?

웹 포렌식이라는 것은 말그대로 웹 브라우저 상의 사용 흔적을 조사하는 모든 행위를 말한다. 

웹 브라우저 상의 흔적들은 흔히 "아티팩트(artifacts)"라는 명칭으로 불린다. . 

 

아티팩트란, 직역하여 "인공물, 흔적"으로 컴퓨터 시스템 상에서 사용자가 행위를 함으로서 발생하는 모든 사용 활동의 흔적을 말한다. 웹 아티팩트는 사용자의 행동으로 발생한 증거로, 검색기록, 최초 URL 접근 시간 등을 알아낼 수 있는 중요한 증거들이다. 사용된 웹 브라우저별로 접근 방식과 분석 방법 등이 상이하지만 보통 웹 아티팩트는 Cache, History, Cookie, Download List 의 네 가지 분류로 나뉜다. 

 

 

 

 

 

웹 아티팩트의 종류와 특징

Cache

 웹 사이트 방문 시에 로딩 속도 향상을 위해 사이트로부터 **자동으로 다운**받아지는 콘텐츠이다. 본래는 네트워크 통신 속도가 느렸을 시절에 웹사이트 정보를 보다 효율적으로 불러오기 위해 사용하는 장치였다. 재방문 시에 같은 웹사이트의 정보들을 다시 다운로드 하지 않고 캐시에서 불러오도록 해 불필요한 다운로드 속도를 줄인 것이다. 사용자의 의도와는 무관계하게 자동으로 다운받아지는 정보이기 때문에 악성 파일을 다운로드 하거나 악성 페이지에 접근했을 경우에 흔히 이용된다. 캐시는 자동으로 다운받아지지만 유저가 삭제하기 전에는 사라지지 않는다.

 

- 접속 URL, 캐시 파일 정보(저장 시간, 파일명, 타입, 크기, 경로)

- 캐시 파일 데이터에는 이미지 파일, 텍스트 파일, 아이콘, HTML 파일, xml파일, 스크립트 등 웹페이지를 구성하기 위한 각종 요소들이 포함된다. 

 

 

History

 웹 사이트에 방문했을 때 사이트 정보를 월/일로 분류하여 저장한 것, 다시 말해 사용자가 **직접 방문** 한 웹사이트의 접속 기록 로그이다. 인터넷을 사용하다보면 한 링크에 들어가면서 여러 경유페이지를 거치는 경우가 있다. 하지만 History 아티팩트는 사용자의 의지와는 관계없이 자동으로 경유하게 되는 경로와는 구분된다. 

 

- 방문 URL, 방문 URL의 GET 방식 인자값(검색어, 아이디, 패스워드), 접속 시간, 접속 횟수, 페이지 title

 

 

Cookie

쿠키란 웹 브라우저 이용에 있어 가볍고 빠른 통신을 위해 웹 브라우저가 컴퓨터에 저장하는 텍스트 파일이다.자주 쓰이는 데이터를 매번 서버에서 받아오지 않고 로컬에 저장하여 쉽게 사용하기 위해 만들어졌다. 흔히 웹사이트에서 자동 로그인이나 최근 검색 목록이 뜨는 것이 쿠키를 이용한 예시이다. 쿠키는 웹 브라우저 종료와 동시에 삭제되는 경우도 있지만(session cookie, 세션 쿠키) 대부분은 Expiration time(지속 시간)이 만료되면 자동으로 삭제된다. (persistent cookie, 지속적 쿠키)

- 호스트 경로, 쿠키 수정시간, 쿠키 만료시간, 이름, 값

 

 

Download List

 사용자가 웹에서 다운로드 받은 파일의 목록을 관리하는 로그이다. 파일들의 안정적인 전송과 이력의 관리를 위해 기록되며, Download list를 분석할 시 사용자가 웹 브라우저를 이용해 다운한 파일의 목록을 알 수 있다. 사용자가 웹 브라우저를 통해 **직접 다운로드**한 파일들이 기록되기 때문에 사용자가 브라우저에 노출된 취약점으로 인해 의도치않게 파일을 다운로드한 것인지 자기의지로 다운로드 한 것인지 그 고의성을 판단하는 데 용이하다. 

 

- 파일 저장 경로, 다운로드 URL, 파일 크기, 시간, 정상적인 다운로드 여부

 

 

 

 

 

웹 포렌식 과정에서 획득한 웹 아티팩트들은 타임라인 분석, 검색 분석, 분류파일 분석 등 다양한 방식으로 분석될 수 있으며 이를 수월하게 하는 웹 아티팩트 분석 도구들이 존재한다. 그 중 대표적인 것이 WEFA이다. 

참고한 링크

http://portable-forensics.blogspot.com/2014/11/web-artifact.html

https://lemonpoo22.tistory.com/166

http://www.forensic-artifacts.com/windows-forensics/chrome

 

'포렌식 > 웹 포렌식' 카테고리의 다른 글

MZHistoryView  (0) 2023.01.11
5주차_방학 진행 계획  (0) 2023.01.05
4. 웹 아티팩트 분석 도구 (WEFA)  (0) 2022.11.30
3. 웹 아티팩트 분석 도구 (BrowsingHistoryView)  (0) 2022.11.30
2. 웹 브라우저별 아티팩트 분석 방법  (0) 2022.11.09

'포렌식/웹 포렌식' Related Articles

티스토리툴바