웹 브라우저 포렌식 (Web Browser Forensics)

웹 브라우저 포렌식

디지털 포렌식 기법을 적용해 웹 브라우저 사용 흔적을 조사하는 행위.

웹 브라우저가 남기는 로그 파일을 분석하는 것.

 

포렌식 대상

History

사용자가 방문한 웹 사이트의 접속 정보

- 방문 URL과 방문 시간

- 방문 URL의 GET 방식 인자값 (검색어, 아이디, 패스워드)

- 방문 횟수

- 웹 페이지 제목

 

Cache

웹사이트 재접속 시 이미지나 정보들을 다시 다운로드 받지 않고 빠르게 로딩하기 위해 사이트로부터 자동으로 받는 데이터

- Cache 데이터 (다운로드 받은 데이터, 이미지, 텍스트, 아이콘 등)

- Cache 인덱스 정보 (Cache 데이터 위치, 다운로드 URL, 다운로드 시간, 크기 등)

 

Cookie

웹 사이트에서 사용하는 사용자에 관한 데이터. 자동 로그인 기능, 장바구니 기능에 활용됨.

*로컬 하드디스크 또는 서버에 저장

- 호스트

- 경로

- 쿠키 수정 시간

- 쿠키 만료 시간

- 이름

- 값

 

Download List

사용자가 의도적으로 컴퓨터에 내려 받은 파일들에 대한 정보

- 저장 경로

- 다운로드 URL

- 파일 크기

- 다운로드 시간 

- 다운로드 성공여부

 

분석 도구

웹브라우저 사용흔적 분석 도구

디지털포렌식 도구

 

로그파일 경로

Internet Explorer(IE5, windows 7 기준)

Index.dat 이라는 로그 파일 구조

- Header, Hash Tables, Activity Record Type으로 구성

 

[로그 정보별 수집 방법]

Cache

다운로드 된 Cache 데이터는 Temporary Internet 파일 형태로 저장됨.

Content.IE5 폴더 아래 index.dat과 폴더들이 존재하고 폴더에는 Temporary Internet 파일이 존재.

Index.dat 파일 - Temporary Internet 파일들의 인덱스 정보

 

History

History.IE5 폴더 아래 Index.dat 파일과 폴더들이 존재하고 각 폴더는 일간/주간으로 나누어져 각 폴더 안에 Index.dat 파일이 저장되어 있음.

 

Cookie

Cookie 폴더 아래 Index.dat 파일과 txt 파일이 존재.

Index.dat 파일은 쿠키 파일들의 인덱스 정보를 저장.

 

Download List

*IE9 버전 이후부터 존재

IEDownloadHistory 폴더 아래 index.dat 파일로 존재

 

Chrome

Cache

data_0 파일에 데이터 인덱스 정보, data_1, data_2, data_3 파일과 나머지 파일에 캐시 데이터가 저장되어 있다. 

Cache 폴더 아래 위 파일들이 저장되어 있다. 

 

History, Cookie, Download List

SQLite Database  파일 형태로 저장되어 있다. 

 

History : History Index <년-월> SQLite 파일로 저장, Cookie : Cookies SQLite 파일로 저장,  Download : History 정보와 함께 History SQLite 파일 안에 저장되어 있음.

Default 폴더 아래 위 파일들이 존재.

 

로그 분석 방법

1. 시간 정보를 통한 타임라인 분석

웹 브라우저의 사용내역을 일련의 시간의 흐름으로 재구성하여 사용자의 사이트간 이동 경로를 파악하고 행위를 분석함.

 

2. 검색어 정보를 통해 분석 가능

용의자가 입력한 단어, 문장 등을 통해 용의자의 범행 동기, 수법, 목적 등의 내용을 파악 가능

 

검색 사이트 별로 키워드 변수가 다른데 google의 경우에는 키워드 변수가 q이다.

google에서 forensic을 검색하면 다음과 같이 URL이 생성됨.

http://www.google.com/search?hl=en&source=hp&q=forensic&aq=f&oq=&aqi=g10

여기에 URL이 Encoding 되는 경우가 있다. 

http://www.google.com/search?hl=en&source=hp&q=%ED%8F%AC%EB%A0%8C%EC%8B%9D&aq=f&oq=&aqi=g10

이런 식으로 Encoding 된다.

*google에서는 UTF-8 방식으로 Encoding을 하며 Encoding 방식에 맞추어 Decoding을 해야 분석이 가능함.

 

3. 사용자 행위 분류 키워드를 통해 분석 가능

검색, 메일, 카페 등 사용자의 행위에 따라 키워드를 통해 분류 후 분석

 

4. 열어본 파일을 통해 분석 가능

열어본 파일의 경로와, 열람 시간을 통해 사용자가 열어본 파일 파악 가능

 

 

---

참고 

[it위키] 웹 브라우저 포렌식   

웹포렌식 로그파일 경로