4. 웹 아티팩트 분석 도구 (WEFA)
보통 가장 많이 사용하는 게 WEFA인 것 같아서 추가적으로 WEFA의 리뷰도 진행해보려 한다.
WEFA란?
고려대학교 디지털 포렌식 연구소인 DFRC에서 개발한 웹 아티팩트 분석 툴이다.
무료 버전을 공개하고 있으며 별도의 설치 과정 없이 실행할 수 있다.
Internet Explorer, Firefox, Chrome, Safari, Opera 브라우저의 분석을 지원한다.
WEFA 다운로드
http://forensic.korea.ac.kr/tools.html
http://forensic.korea.ac.kr/tools.html
forensic.korea.ac.kr
위 DFRC 사이트 링크에서 다운받을 수 있다.
WEFA 오른쪽의 다운로드 버튼을 누르면 바로 다운로드가 진행되며,
현재는 2019년에 공개된 1.4.3이 가장 최신 버전이다.
NirSoft의 무료 배포 소프트웨어들보다는 구성이 많지만
그래도 4.7MB 정도의 압축 파일이 전부인 가벼운 프로그램이다.
압축을 풀고 WEFA.exe 파일을 실행시키면 간단하게 사용할 수 있다.
처음 실행하면 윈도우10 기준 다음처럼 경고 메시지가 뜨는데 무시하고 실행하면 된다.
언어를 선택하고 확인 버튼을 누르면 프로그램이 실행된다.
언어는 추후 툴바에서도 설정할 수 있다.
WEFA 사용
케이스 생성
WEFA는 수사용으로 배포됐기 때문에 사용하려면 케이스를 먼저 생성해야만 한다.
케이스 폴더의 경로만 제대로 설정해주자.
케이스 폴더의 경로를 설정하면 바탕화면에
'WEFA_케이스 번호_조사관_년원일 시분초' 형식으로 저장된다.
분석을 한 번 끝내니 CaseFile 아래에 데이터베이스가 생성되었다.
SQLite로 열어보았더니 분석 결과가 탭창에 뜨는 순서대로 저장되어 있었다.
애플리케이션에서 출력되는 분석 화면과 같은 필드 순서로 출력되는 것을 보면
데이터베이스에 먼저 기록을 하고 그대로 불러와서 출력하는 방식인 듯...?
로그 분석
로그파일 분석은 메뉴 탭에서 로그파일 분석을 클릭하거나
상단의 로그분석 아이콘을 누르면 실행된다.
웹 아티팩트가 있는 폴더를 직접 지정하거나,
이미 한 번 분석한 적 있는 케이스 파일의 데이터베이스를 불러올 수도 있는 모양이다.
일단 현재 시스템으로 실행해주었다.
실행해본적 있는 웹 브라우저의 순서대로 자동 파싱한다.
나 같은 경우에는 Internet exploror10과 Chrome만 사용해서
두 브라우저를 2분 정도 수집하고 종료되었다.
웹 캐시, 히스토리, 쿠키, 다운로드 목록, 세션, 검색정보, 로컬파일 열람, 임시인터넷파일 중
존재하는 웹 아티팩트들의 수집 결과를 출력한다.
히스토리 탭을 눌렀더니 기억도 안나는 2017년의 정보를 가지고 있어서 좀 놀랐다...
타임라인 분석 같은 경우에는 웹 브라우저로 무슨 일을 했는지 자동으로 행위를 분류해서 집계해준다.
범죄 수사 같은 경우에 정말 큰 도움이 될 만한 기능 같다.
로그정보 수집
분석 같은 경우에는 웹 아티팩트 로그의 데이터베이스 분석 결과를 그대로 출력해주지만,
컴퓨터에 남아있는 웹 아티팩트 파일을 복사해서 저장하는 수집 기능도 있다.
마찬가지로 메뉴 탭이나 아이콘을 클릭해서 실행할 수 있고 현재 시스템이나 드라이브를 선택해서 수집할 수 있다.
사용자 계정과 사용된 웹 브라우저로 묶어서 수집을 진행하고,
케이스 파일 폴더의 Collection 밑에 저장된다.