Window Web browser-Analysis[2]
- Digital Forensic/Windows-Forensic
- 2018. 1. 1. 16:20
본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다.
(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.)
웹 브라우저 포렌식
이번 포스팅에서는 크롬 브라우저에 대해서 알아보겠습니다. 앞서 본 포스팅에서 다룬 웹 브라우저의 점유울을 기억하시나요?
크롬 브라우저는 앞서 다룬 IE보다 더 높은시장 점유율을 가지고 있습니다. 그렇기 때문에 웹 브라우저 포렌식을 할 경우 빼먹을 수 없는 부분입니다.
2. 구글 크롬 브라우저
구글에서 만든 브라우저로 현재 전 세계 점유율 1위를 기록하고 있는 브라우저입니다. 빠른 속도와 적은CPU점유율로 사용자들로부터 좋은 평가를 얻고 있습니다. 또한 안정성과 효율적인 인터페이스에 중점을 두고 있는 브라우저입니다. 구글의 크롬 브라우저에서 얻을 수 있는 정보는 다음과 같습니다.
1) 크롬 브라우저에서 얻을 수 있는 정보
[크롬 브라우저의 아티팩트 경로]
기존 인터넷익스플로러와 파이어폭스에서는 크게 4가지의 정보만을 획득 할 수 있었습니다. 하지만 크롬 브라우저에서는 사용자가 입력한 타이핑 URL목록과 새탭을 눌렀을때 저장된 목록에 대해서도 정보를 획득 가능합니다.
2) 분석 방법
크롬 브라우저에서는 Sqlite db형태로 파일을 관리합니다. 그렇기 때문에 손쉽게 Sqlite Browser를 통해 분석이 가능합니다. 저장되는 파일 중 가장 중요한 History파일에 대해서 알아 보도록 하겠습니다.
가) History
History파일에는 사용자가 방문한 URL 및 접속 시간, 다운로드 내역 등이 기록됩니다. Chrome브라우저의 방문기록은 urls 테이블과 visits 테이블에 의해 방문 url과 방문 기록을 분리하여 관리합니다. urls 테이블에는 방문했던 사이트 고유의 url들이 저장되고, visits 테이블에는 urls 테이블을 참조하여 방문 이력이 관리 됩니다. 다운로드 기록은 downloads 테이블과 downloads_url_chains 테이블에 의해 관리되며 downloads에는 다운로드 받은 파일에 대한 내역이 기록되고 downloads_url_chains테이블에는 다운로드 받은 url들이 기록됩니다.활용성이 높은 데이터가 들어있는 Table은 downloads, downloads_url_chains, urls, visits가 있습니다.
[크롬 브라우저 History table]
① downloads Table 분석
다운로드 받은 파일을 관리하는 downloads 테이블은 아래와 같이 저장경로, 다운로드 시작 시간, 용량 등의 항목이 기록됩니다.
[크롬 브라우저 History downloads table 분석]
각 필드에 대한 분석 내용은 아래와 같습니다.
[downloads Table 필드 분석]
② downloads_url_chains Table 분석
다운로드 받은 파일의 URL을 관리하는 downloads_url_chains 테이블은 아래와 같은 항목이 기록됩니다.
[downloads_url_chains Table 분석]
주요 필드는 아래와 같습니다.
[downloads_url_chains Table 필드 분석]
③urls Table 분석
사용자의 방문기록은 urls 테이블과 visits 테이블에 의해 관리됩니다. 방문 URL을 관리하는 urls 테이블은 방문 URL, 최근 방문시간, 총 방문 수 등을 기록합니다.
[ruls Table 분석]
주요 테이블 필드 내용은 아래와 같습니다.
[urls Table 필드 분석]
④visits Table 분석
방문 URL, 방문 시간 referrer 등 사용자의 방문 기록은 urls 테이블을 참조하여 visits 테이블에 저장됩니다.
[visits Table 분석]
주요 테이블 내용은 아래와 같습니다.
[visits Table 필드 분석]
지금까지 구글의 크롬 브라우저에 대해서 알아 보았습니다. 다음 포스팅에서는 파이어 폭스에 대해서 알아 보겠습니다.
'Digital Forensic > Windows-Forensic' 카테고리의 다른 글
Windows Artifact[1] - $MFT(1) (0) | 2018.03.05 |
---|---|
Window Web browser-Analysis[3] (0) | 2018.01.04 |
Window Web browser-Analysis[1] (0) | 2017.12.28 |
Window Registry-Analysis[5] (0) | 2017.12.25 |
Window Registry-Analysis [4] (0) | 2017.12.21 |
이 글을 공유하기