Window Web browser-Analysis[3]
- Digital Forensic/Windows-Forensic
- 2018. 1. 4. 16:20
본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다.
(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.)
2. 파이어 폭스
파이어폭스는 다양한 플러그인을 제공해주는 넷스케이프사에서 만든 브라우저입니다. IE와 다르게 인터넷 사용 정보를 Sqlite3포맷을 이용한 DB에 정보를 저장합니다. 저장되는 정보는 다음경로에서 확인이 가능합니다.
1) 파이어 폭스에서 얻을 수 있는 정보
[파이어폭스 아티팩트 경로]
2) 분석 방법
파이어폭스 또한 크롬 브라우저와 같이 Sqlite db형태로 파일을 관리합니다. 그렇기 때문에 손쉽게 Sqlite Browser를 통해 분석이 가능합니다. 저장되는 파일 중 가장 중요한 History파일에 대해서 알아 보도록 하겠습니다.
가) places.sqlite
사용자가 방문한 URL 및 접속 시간, 다운로드 내역 등이 기록됩니다. Firefox 브라우저의 방문기록은 Chrome 브라우저와 비슷한 형태로 moz_places 테이블과 moz_historyvisits 테이블에 의해 방문 url과 방문 기록을 분리하여 관리합니다. moz_places 테이블에는 방문했던 사이트 고유의 url들이 저장되고, moz_historyvisits 테이블에는 moz_places 테이블을 참조하여 방문 이력이 관리 됩니다.
다운로드 기록은 Chrome 브라우저와 달리 다운로드받은 URL을 따로 관리하지 않고 moz_historyvisits 테이블에서 통합관리하며 moz_annos 테이블에 다운로드 내역이 추가적으로 기록됩니다. moz_annos테이블에 다운로드에 대한 3가지 정보가(저장경로, 저장파일명, 메타테이터) 각각 attribute 번호로 구분하여 각각 기록되며 moz_anno_attribute 테이블에서 구분 내역을 기록합니다. moz_anno_attribute에는 10가지 항목에 대해서 구분하는데 파일다운로드 관련 attribute는 3~5번으로 각각 저장경로, 저장파일명, 메타데이터입니다.
파일 형식은 Sqlite형식으로 저장되어 있어 쿼리를 통한 데이터 추출이 가능합니다. 다음은 places.sqlite 파일의 Table 리스트를 확인하는 화면입니다. 해당 테이블 중 피해시스템 진단 시 활용성이 높은 데이터가 들어있는 Table은 moz_anno, moz_places, moz_historyvisits가 있습니다.
즐겨찾기와 관련된 테이블은 moz_bookmarks_roots, moz_bookmarks이며 즐겨찾기 저장 시 history와 유사한 형태로 moz_places 테이블을 참조하여 저장합니다.
[파이어폭스 places.sqlite 테이블 구조]
나) places.sqlite 테이블 분석
[places.sqlite 테이블 필드 분석]
① moz_annos
Firefox브라우저의 다운로드 기록은 Chrome 브라우저와는 다르게 방문 기록과 함께 통합적으로 관리되는데 moz_places 테이블과 moz_historyvisits에 기록되며 다운로드, 북마크 설정 등의 추가정보(annotation)가 moz_annos테이블에 기록됩니다.
[moz_annos 분석]
주요 필드의 내용은 아래와 같습니다.
[moz_annos 필드 분석]
② moz_places
moz_places테이블은 Chrome의 urls테이블과 유사하게 각각의 방문 URL들을 기록합니다.
[moz_places 분석]
주요 필드의 내용은 아래와 같습니다.
[moz_places 필드 분석]
③ moz_historyvisits
moz_historyvisits 테이블은 Chrome의 visits테이블과 유사하게 각각의 방문 내역을 기록합니다.
[moz_historyvisits 분석]
주요 필드의 내용은 아래와 같습니다.
[moz_historyvisits 필드 분석]
④moz_bookmarks_roots
moz_bookmarks_roots 테이블은 즐겨찾기 시스템에서 사용되는 특정 디렉터리들의 리스트를 저장하고 있습니다.
[moz_bookmarks_roots분석]
주요 필드의 내용은 아래와 같습니다.
[moz_bookmarks_roots 필드 분석]
⑤ moz_bookmarks
moz_bookmarks 테이블은 실제 즐겨찾기 항목들이 저장되는 테이블로 각 즐겨찾기의 주소는 moz_places 테이블을 참조하여 저장됩니다. 주요 필드는 아래와 같습니다.
[moz_bookmarks 분석]
주요 필드의 내용은 아래와 같습니다.
[moz_bookmarks 필드 분석]
지금까지 PC에서 가장 많이 쓰는 3대 브라우저에 대해서 알아보았습니다. 앞서 말하였지만 웹 사용기록 분석은 악성코드 다운로드, 파일유출 등과 같은 조사 시 꼭 필요한 분석 기술 입니다. 다음 포스팅에는 메모리 포렌식에 대해서 알아보도록 하겠습니다.
'Digital Forensic > Windows-Forensic' 카테고리의 다른 글
Windows Artifact[1] - $MFT(2) (0) | 2018.03.08 |
---|---|
Windows Artifact[1] - $MFT(1) (0) | 2018.03.05 |
Window Web browser-Analysis[2] (0) | 2018.01.01 |
Window Web browser-Analysis[1] (0) | 2017.12.28 |
Window Registry-Analysis[5] (0) | 2017.12.25 |
이 글을 공유하기