웹 브라우저 포렌식

From CS Wiki
Web Browser Forensic

포렌식 대상[edit | edit source]

History, Cache, Cookie, Download List

HIstory 정보[edit | edit source]

사용자가 방문한 웹 사이트의 접속 정보로, 사용자 편의를 위하여 저장

  • 방문 URL과 방문 시간: 해당 사이트의 방문 시간 정보
  • 방문 URL의 GET 방식 인자값: 검색어, 아이디, 패스워드
  • 방문 횟수
  • 웹 페이지 제목

Cache 정보[edit | edit source]

웹 사이트 재 접속 시 이미지나 정보들을 다시 다운로드 받지 않고 빠르게 로딩하기 위하여, 사이트로부터 자동으로 받는 데이터

  • Cache 데이터 : 다운로드 받은 데이터, 이미지, 텍스트, 아이콘 등
  • Cache 인덱스 정보 : Cache 데이터 위치, 다운로드 URL, 다운로드 시간, 크기 등

Cookie 정보[edit | edit source]

웹 사이트에서 사용하는 사용자에 관한 데이터로, 사용자의 로컬 하드디스크 또는 서버에 저장

  • 자동 로그인 정보
  • 웹 쇼핑몰의 장바구니, 상품 저장 목록
  • 기타 개인화된 서비스 정보

Download List 정보[edit | edit source]

사용자가 의도적으로 자신의 컴퓨터에 내려 받은 파일들에 대한 정보, 사용자의 의도와 관계없이 다운로드 하는 캐시와는 구분 필요

  • 저장 경로
  • 다운로드 URL
  • 파일 크기
  • 다운로드 시간 등

분석 대상 데이터[edit | edit source]

마이크로소프트 엣지[edit | edit source]

  • MS Edge는 WebCacheV01.dat 파일을 통하여 모든 History, Cache, Cookie 등 로그 관리
  • WebCacheV01.dat
    • ESE(Extensible Storage Engine) Database Format
    • 헤더와 페이지로 이루어져 있으며, B+ 트리 구조
    • 경로: %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV01.dat