2. 웹 브라우저별 아티팩트 분석 방법

 웹 포렌식의 분석 대상이 되는 아티팩트는 Web Cache, Download list, Cookie, History 총 4가지가 존재한다는 것을 지난 글에서 포스팅했다. 

https://security-cube.tistory.com/11

1. 웹 아티팩트

 

 그러나 이러한 아티팩트들이 저장되는 절대 경로와 사용되는 툴은 웹 브라우저별로 상이하기 때문에 분석 대상이 되는 브라우저의 정보를 적절하게 찾아 쓸 필요가 있다. Interent Explorer, Microsoft Edge, Chrome, Naver Whale, FireFox, Safari, Opera 등의 브라우저별 아티팩트 저장 경로를 소개할 예정이다. FireFox와 Safari, Opera는 국내에서는 다소 생소한 브라우저로 느껴지지만 아무리 인지도가 낮을지라도 분석 대상자가 해당 브라우저를 사용한다면 포렌식 전문가로서는 알아둬야 하기에 가능한한 많은 웹 브라우저를 대상으로 정리해보았다. 

 

 

Internet Explorer

internet explorer는 Index.dat이라는 로그 파일 구조를 가지고 있다. 이 Index.dat 파일은 Header, Hash Tables, Acrivity Record Type으로 구성되어있다. 경로를 살펴보면 모든 아티팩트가 index.dat을 가지고 있되 동시에 다른 파일들도 포함하고 있다. (Download list 제외) 이때의 index.dat 로그의 역할은 실질적인 아티팩트 로그들의 인덱스 정보를 기록하는 것이다. 

Artifacts	Path
History	C:\Users\[Uername]\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat C:\Users\[Uername]\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist ###################\index.dat
Cache	C:\Users\[Uername]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat  C:\Users\[Uername]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\\*.*
Cookie	C:\Users\[Uername]\AppData\Roaming\Microsoft\Windows\Cookies\index.dat C:\Users\[Uername]\AppData\Roaming\Microsoft\Windows\Cookies\
download list	C:\Users\[Uername]\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat

관련 툴

[Public] Web Browser IECookiesView IEHistoryView IECacheView MyLastSearch BrowsingHistoryView WEFA

 

 

Microsoft Edge

 Microsoft Edge의 파일들은 WebCacheV01.dat 파일에 저장되어 있다. 해당 파일은 ESE Database 구조로 되어있고, 읽기 접근을 할 때 다른 프로세스가 파일을 사용 중이라는 메시지와 함께 거부된다.WebCacheV01.dat 파일에 접근하기 위해서는 cmd 명령어를 통한 별도의 절차가 필요하다. 

Artifacts	Path
Database URL, History	C:\Users\[Uername]\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Cache	C:\Users\[Username]\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb38bbwe\AC\#!xxx17)\MicrosoftEdge\Cache\
Cookie	C:\Users\[Username]\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb38bbwe\AC\#!xxx\MicrosoftEdge\Cookies\
Temporary Files	C:\Users\[Username]\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb38bbwe\AC\Temp
Recovery.dat	C:\Users\[Username]\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb38bbwe\AC\MicrosoftEdge\User\Default\Recovery\Activ

 

 

Chrome 

 Chrome은 Cache를 제외한 아티팩트들이 모두 SQLite Database 형태로 저장되어 있다. 다른 브라우저와는 달리 History 데이터베이스 안에 download list 정보가 함께 들어있으며, Cache는 data_x 파일로 저장된다. data_0에 인덱스 정보, data_1, data_2, data_3과 나머지 파일들에 실질적 캐시 데이터가 포함된다. 

Artifacts	Path
History(download list)	C:\Users\[Uername]\AppData\Local\Google\Chrome\User Data\Default\History C:\Users\[Uername]\AppData\Local\Google\Chrome\User Data\Default\History\History Index
Cache	C:\Users\[Uername]\AppData\Local\Google\Chrome\User Data\Default\Cache
Cookie	C:\Users\[Username]\AppData\Local\Google\Chrome\User Data\Default\Cookies

관련 툴

[Public] Web Browser ChromeHistoryView ChromeCacheView MyLastSearch BrowsingHistoryView WEFA

조사한 브라우저 중에서 유일하게 사용하는 게 크롬이라서 경로를 찾아가봤더니 과연 디폴트 디렉토리에 웹 아티팩트들이 보기좋게 모여있었다... 

 

 

Naver Whale

 Naver Whale 역시 크롬과 비슷하게 Default 디렉토리 안에 아티팩트들이 몰려있다. 개인적으로는 Naver Whale 자체가 크롬의 소스 코드를 기반으로 만들어졌기 때문이라고 생각한다. 구글은 Chrome 브라우저 소스 코드를 제공하기 위해 크로미엄(Chromium)이라는 오픈소스 웹 브라우저 프로젝트를 제공했고, Naver Whale은 이 크로미엄을 바탕으로 제작되었다. 

Artifacts	Path
History	C:\Users\[Uername]\AppData\Local\Naver\Naver Whale\User Data\Default\History
Cache	C:\Users\[Username]\AppData\Local\Naver\Naver Whale\User Data\Default\Cache
Cookie	C:\Users\[Username]\AppData\Local\Naver\Naver Whale\User Data\Default\Cookies
Favicon	C:\Users\[Username]\AppData\Local\Naver\Naver Whale\User Data\Default\Favicons
login data	C:\Users\[Username]\AppData\Local\Naver\Naver Whale\User Data\Default\Login Data
확장 프로그램	C:\Users\[Username]\AppData\Local\Naver\Naver Whale\User Data\Default\Extensions
Current Session	C:\Users\[Username]\AppData\Local\Naver\Naver Whale\User Data\Default\Current Session
Top Sites	C:\Users\[Username]\AppData\Local\Naver\Naver Whale\User Data\Default\Top Sites

 

 

FireFox 

 FireFox의 경우 Chrome과 똑같이 Cache를 제외한 데이터들이 SQLite database(sqlite) 파일로 존재한다. 해당 아티팩트들의 위치는 default 디렉토리 아래로 동일하다. 홀로 다른 형식을 가지고 있는 Cache 파일은 Cache Map file, Separate Cache Data Files, Three Cache Block Files의 구조를 가지고 있다. 

Artifacts	Path
History	C:\Users\[Uername]\AppData\Roaming\Mozilla\Firefox\Profiles\.default\places.sqlite
Cache	C:\Users\[Username]\AppData\Local\Mozilla\Firefox\Profiles\\Cache\_CACHE_MAP_XXX
Cookie	C:\Users\[Username]\AppData\Roaming\Mozilla\Firefox\Profiles\.default\cookies.sqlite
download list	C:\Users\[Username]\AppData\Roaming\Mozilla\Firefox\Profiles\.default\download.sqlite

관련 툴

[Public] Web Browser MozillaCookieView MozillaHistoryView MozillaCacheView MyLastSearch BrowsingHistoryView WEFA

 

 

Safari

 Safari는 Chrome과 FireFox와는 반대로 Cache 파일이 SQLite Database로 이루어져 있다. 이외의 아티팩트는 Plist 파일 형태이다. 

Artifacts	Path
Database URL, History	C:\Users\[Uername]\AppData\Roaming\Apple Computer\Safari\History.plist
Cache	C:\Users\[Username]\AppData\Local\Apple Computer\Safari\Cache.db
Cookie	C:\Users\[Username]\AppData\Roaming\Apple Computer\Safari\Cookies\Cookies.plist
download list	C:\Users\[Username]\AppData\Roaming\Apple Computer\Safari\Downloads.plist

관련 툴

[Public] Web Browser SafariHistoryView SafariCacheView MyLastSearch BrowsingHistoryView WEFA

 

 

Opera

 Opera에서 Cache를 제외한 아티팩트는 .dat 파일로 저장되어 있으며 Cache 같은 경우는 dcache4.url 파일에 인덱스 정보가 포함되어 있고 그 아래 서브 폴더들에 실질적인 데이터가 저장되어 있다. 

Artifacts	Path
History	C:\Users\[Uername]\AppData\Roaming\Opera\Opera\global_history.dat
Cache	C:\Users\[Username]\AppData\Local\Opera\Opera\cache\dcache4.url
Cookie	C:\Users\[Username]\AppData\Roaming\Opera\Opera\cookies4.dat
download list	C:\Users\[Username]\AppData\Roaming\Opera\Opera\download.dat

관련 툴

[Public] Web Browser OperaCacheview WEFA

---

참고한 링크 

 https://scienceon.kisti.re.kr/srch/selectPORSrchArticle.do?cn=DIKO0014817840 

https://certangsecurity.tistory.com/114

http://portable-forensics.blogspot.com/2014/11/web-artifact.html

https://lemonpoo22.tistory.com/166