Window Web browser-Analysis[1]





본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다.

(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.)





웹 브라우저 포렌식


오늘날 사용자는 웹 브라우저를 통해 다양한 정보를 주고 받으며, 사용자가 원하는 정보를 인터넷을 통해 제공 받고 있습니다. 또한 이를 악용하여 범죄와 관련된 정보를 숨기거나, 찾는데 이용하기도 합니다. 웹 브라우저 포렌식은 사용자가 웹 브라우저를이용하여 남기는 아티팩트(흔적)을 분석하는 일련의 과정입니다. 이는 디지털 시대에 따른 인터넷 의존성이 높아졌으며, 사건에따라 사용자(또는 범죄자)에 대한 많은 정보를 획득 가능합니다. 웹 브라우저 포렌식을 통해 얻을수 있는 정보는 자주 방문하는사이트, 다운받은 흔적등 정보들을 확인 가능합니다. 또한 과거에는 IE에 대한 사용 점유율이 높았으나 현재는 구글사의 크롬브라우저가 압도적으로 점유율이 높아지고 있는 추세입니다. 이에 우리는 IE뿐만 아니라 크롬브라우저, 파이어폭스에 대해서도 분석을 해볼 것입니다.



[웹 브라우저 점유율]



1. IE ( Internet Explorer)


인터넷익스플로러는 MS사에서 개발한 웹 브라우저입니다. 아직도 많은 사용자들이 이용을 하고 있으며 윈도우 설치시 기본으로 설치되는 브라우저 중 하나 입니다. 우리가 알아볼 내용은 인터넷 익스플로러 버전에 따라 나눌 수 있습니다. 인터넷 익스플로러10 버전이상 부터는 하나의 파일로 아티팩트를 관리하고 저장합니다. 10버전 이상과 그 이전 버전은 어떻게 다른지 한번 알아보도록 하겠습니다.


IE버전에 따라 파일이 저장되는 위치는 다음과 같습니다.


[버전별 IE 파일 위치]


1) 먼저, IE 9버전 이하의 경우 각각의 파일로 정보를 저장하는것을 확인 할 수 있습니다. 저장 시 Index.dat이라는 파일로 저장하는것을 확인 할 수 있습니다.

index.dat 파일은 일종의 데이터베이스 파일로 웹 URL요청과 최근에 열었던 파일에 대한 정보등이 저장되어 있는 파일입니다. 이 파일의 목적은 Internet Explorer에서 사용되는 데이터에 신속하게 접근할 수 있도록 하기 위합니다. 예를 들어, 방문한 모든 웹 주소는 Internet Explorer보다 빠르게 자동 완성을 할 수 있도록 index.dat파일에 저장됩니다. index.dat파일은 Windows System에 로그인 한 사용자 별로 각각 구성됩니다.


[Index.dat 분석과정]


  가) Index.dat File Header


index.dat 파일자체에 대한 정보(Signature, Filesize, Number of subdirectiors, etc)와 포렌식 관점에서 필요한 정보인 Activity Record정보가 담긴 HASH Table이 위치한 곳의 주소를 가지고 있습니다.


[Index.dat의 File Header 구조]


  나) Hash Table


HASH tableactivity records에 대한 정보를 담고 있습니다. 한 개의 HASH table만 존재하는 것이 아니라 각각의 HASH table에는 다음 HASH table에 대한 정보를 가지고 있는 Linked List형태로 되어있으며 HASH table에는 실제 포렌식 관점에서 필요한 데이터가 저장되어 있는 Activity record의 위치가 저장되어 있습니다.

 

[Hash Table 구조]


  다) Activity Record


Activity recordindex.dat파일로부터 추출해야하는 주요한 정보들이 저장되어 있으며 다음의 일반적인 구조를 가집니다.


[Activity Record 구조]


  라) Index.dat 분석


index.dat파일에서 필요한 정보는 Activity Record에 존재합니다. Activity Record에 접근하기 위해서는 먼저 index.datfile header에서 HASH table의 주소를 얻은 후 해당 주소에서 유효한 Activity Record 주소를 구합니다. 해당 주소에는 URL로 시작하는 Activity Record정보가 존재하는데 여기서 얻을 수 있는 데이터는 다음과 같습니다.


구분

속성

설명

Index.dat

(History -

Activity Records)

 

URL

방문한 웹 사이트에 대한 정보를 가지고 있다.

Title

방문한 웹 사이트의 제목표시줄 내용

Modified Date

마지막으로 수정한 시간

Hits

방문 횟수

User Name

사용자 이름



Index.dat구조와 얻을 수 있는 정보에 대해서 알아 보았으며, Index.dat 파일 분석을 보다 빠르게 하기 위해서는 아래와 같은 도구를 사용 할 수 있습니다.


-IECacheView(http://www.nirsoft.net/utils/ie_cache_viewer.html)

-IECookieView(http://www.nirsoft.net/utils/iecookies.html)

-IEHistoryView(http://www.nirsoft.net/utils/iehv.html)

-Indexdat Analzer(http://www.systenance.com/indexdat.php)

-BrowsingHistoryView(http://www.nirsoft.net/utils/browsing_history_view.html)



2) IE 10 버전 이상(MS Edge 포함)


Microsoft Internet Explorer 버전 10 이후부터 기존의 index.dat를 대신하여 WebCacheV##.dat형식으로새롭게 구성됩니다. 이 파일은 기존의 index.dat파일의 구성과 달리 Extensible Storage Engine(ESE) Database를 기반으로 구성되어 있으며 History, Cache, Cookie등 여러 항목에 대한 정보들을 하나의 파일로 통합 관리하는 방식으로 바뀌었습니다. 시스템이 crash가 일어난 상황이여도 caching system을 바탕으로 높은 성능, 신뢰성과 안정성을 제공하고 작게는 1MB 파일부터 크게는 1TB파일까지의 다양한 데이터 사이즈 역시 지원합니다


  가) WebCacheV*.dat 구조


WebCacheV*.dat 파일은 ESE database를 기반으로 하기 때문에 B-Tree(Balanced Tree)가 집합된 형태를 지닙니다.


[B-Tree구조]


ESE Database구조 설명 : http://moaistory.blogspot.kr/2016/08/digital-forensic-investigation-of-ese_5.html



나) WebCacheV*.dat 분석


 Directory의 경로를 토대로 Cache, Cookies, Download, History 분석이 가능합니다. 디렉토리 경로가 “Content.IE5” 로 끝나는 컨테이너는 Cache디렉토리이고, 경로에 “History.IE5”를 포함하는 컨테이너는 History 정보가 저장됩니다. 또한 경로에 “Cookies”를 포함하는 컨테이너는 Cookies 정보를 저장하고 있으며, 마지막으로 경로에 “IEDownloadHistory”를 포함하는 컨테이너는 Download 기록 정보를 저장하고 있습니다.

WebCacheV*.dat파일을 분석 하기위해선 아래와 같은 도구를 이용할 수 있습니다.


-http://moaistory.blogspot.kr/2016/08/ie10analyzer.html



지금까지 IE 브라우저 분석 방법에 대해서 알아 보았습니다. 다음 포스팅이에는 구글 크롬과 파이어 폭스에 대해서 알아보도록 하겠습니다.





'Digital Forensic > Windows-Forensic' 카테고리의 다른 글

Window Web browser-Analysis[3]  (0) 2018.01.04
Window Web browser-Analysis[2]  (0) 2018.01.01
Window Registry-Analysis[5]  (0) 2017.12.25
Window Registry-Analysis [4]  (0) 2017.12.21
Window Registry-Analysis [3]  (0) 2017.12.18

이 글을 공유하기

댓글