3. 웹 아티팩트 분석 도구 (BrowsingHistoryView)

가장 자주 사용하는 브라우저가 Chrome이라서 Chrome 포렌식을 할 수 있는 툴을 찾아보고자 했는데

기존에 있던 Chromeforensics 툴은 2013년 이후로 업데이트가 안 됐고 오류가 많다고 한다.

또한 종합 툴으로 WTFA 등이 있지만 참고하여 새로운 툴을 개발하기 위해서는 복잡하지 않은 편이 나은 것 같아서...

 

찾은 게 NifSoft의 소프트웨어 모음집이었다. 

---

Nirsoft 무료 소프트웨어 다운로드

https://www.nirsoft.net/

freeware utilities: password recovery, system utilities, desktop utilities - For Windows

NirSoft의 공식 사이트에 접속한다. 링크는 위와 같다.

 

 

Nirsoft 메인 포털

NifSoft에서는 Web 아티팩트 분석 툴뿐만 아니라 다양한 분야의 무료 툴을 취급하고 있다.

 

 

왼쪽 분류에서 **Browser Tools**을 클릭하면 다양한 브라우저 툴이 나열되어 나온다.

크롬 이외에도 사파리, IE, FireFox등 굉장히 넓은 브라우저에서 사용할 수 있는 툴들을 배포하고 있다.

NirSoft에서 현재 배포하고 있는 웹 브라우저 툴은 11개이다.

 

 

각 툴의 타이틀을 클릭하면 상세 정보를 볼 수 있다.

관련하여 추가로 추천하는 툴, 설명, 버전 기록, 요구 시스템 사양, 알려진 문제점, 툴바와 기능 설명, 명령어 설명 등을 포함하고 있다. 사용법과 명령어가 해당 페이지에 가장 자세히 기술되어 있다.

 

 

맨 아래로 쭉 내리면 다운로드 링크가 있다. 기본이 32bit 버전이고,

64bit 운영체제를 쓴다면 아래에 있는 64bit 버전을 다운로드 받아야 한다.

 

 

실행파일, 설명서가 포함된 아주 간단한 압축 파일이 다운로드 된다.

별도의 설치 과정 없이 exe 실행파일을 더블클릭하면 프로그램을 사용할 수 있다.

 

 

---

BrowsingHistoryView 실행

처음 BrowsingHistoryView를 실행하면 위처럼 어느 정도의 정보를 수집할 것인지 설정을 해줘야한다.

(WireShark에서 필터 설정하는 것과 비슷한 개념)

 

 

하나씩 뜯어보자면 가장 위에 있는 옵션은 시간적 범위이다. 

모든 히스토리를 수집하거나,

최근 n시간, 최근 n일, 최근 n분 단위로 수집할 수도 있고,

아예 사용자가 년월일과 시분초를 설정하여 볼 수도 있다.

 

 

보고 싶은 웹 브라우저를 선택하여 필터링 할 수도 있다. 

 

 

PC의 사용자를 구분하거나 웹 아티팩트가 있는 폴더를 지정할 수도 있다.

user를 단위로 필터링하면 기본적으로 로컬에서 자동화된 파일 위치를 선택한다.

그렇게 하지 않고 아티팩트가 있는 폴더를 선택할 수 있는 건 나 자신이 아닌 타인의 아티팩트를 분석하기에 유용하다.

 

 

필터링 옵션을 마치면 자동으로 조건에 맞는 정보들만 로드해서 보여준다. 

URL, 웹 사이트의 Title, 방문 시간과 횟수, 사용 브라우저와 접근한 User 등의 정보를 확인할 수 있다.

 

 

각 항목을 더블 클릭하면 더 자세히 볼 수 있다.

또 이 상태의 항목은 복사가 가능해서 URL을 복사해 웹사이트를 다시 방문해보았다.

 

 

URL을 브라우저 주소 창에 복붙하면 방문했던 페이지가 그대로 나타난다.

 

 

 

그 외에도 Nirsoft에서 배포한 크롬 포렌식 관련 툴은

위 browsingHistoryView와 같은 기능을 하지만 크롬의 데이터로만 추출하도록 개발된 chromehistoryview,

크롬의 쿠키를 살펴볼 수 있는 chromecookiesview, (실습 사진을 올리려고 했는데 쿠키를 다 불허해서 아무것도 없었다...)

웹 브라우저에서 재생된 비디오 파일을 볼 수 있는 videocacheview가 있다.

 

---

+VideoCacheView

ChromeHistoryView는 기능 자체는 BrowsingHistoryView와 다를 게 없고,

ChromeCookiesView는 보여줄 쿠키가 없어서 사용 캡처를 하지 못했지만

VideoCacheView의 기능은 흥미롭다.

 

 

소프트웨어를 실행하면 자동으로 아티팩트에 남아있는 동영상 파일의 정보를 추출해낸다.

아티팩트 기록 속의 모든 데이터를 집계하는 건지 시간이 꽤 걸린다. 

 

 

각 항목을 더블클릭하면 NirSoft의 다른 소프트웨어가 그렇듯 상세 정보가 보인다.

보아하니 크롬에서 미리캔버스에 접속해 본 Cache에는 저장되지 않은 동영상 파일이 있었나보다. 

 

 

URL을 브라우저에 복사 붙여넣기 하면 해당 페이지로 이동하는 것은 아니고 곧바로 동영상 파일이 다운로드 된다.

미리캔버스의 광고 배너 같은 곳에 해당 mp4 파일이 있었던 것 같은데, 내가 재생한 것이 아니라 사이트에서 로딩된 동영상 정보라 Cache에는 남지 않은 것 같다.

 

 

이렇게 VideoCacheView를 사용하면 사용자가 직접 접근하지 않았더라도 자동으로 재생된 동영상 정보뿐만아니라

실제 동영상 파일을 다운로드하여 확인하는 것도 가능하다.