디지털 포렌식 정리 #8 (Web[IE])

0

디지털포렌식

목록 보기
78/115
post-custom-banner

Web과 관련한 아티팩트는, IE 기준 Cache, History, Cookie, Download 등으로 구분할 수 있다.
또한, IE는 ~9 / 10 ~ 으로도 다시 한 번 구분할 수 있다.

각각의 아티팩트에 대해서 먼저 살펴보자.

Cache

기존 방문한 Web site를 재방문할 시, 변경되지 않은 정보는 다시 다운받지 않고, Cache에서 불러와 속도를 향상시킨다. 이미지, 텍스트 html, xml, 스크립트 등 사이트를 표현하는 다양한 정보들을 포함한다.
[접속 URL, Cache 파일 Meta data(시간, 이름, 크기, 경로)]

경로 : %profile$\Appdata\Local\Microsoft\Windows\Temporary Internet files\Contents.IE5\index.dat

History

Web site 방문 시, 사이트 정보를 분류해서 저장한다
[URL, 접속 시간, 접속 횟수, 페이지 제목]

경로 : %profile$\Appdata\Local\Microsoft\Windows\History.IE5\index.dat

HTTP 통신에서 접속상태를 유지할 수 있도록, 사용자의 정보를 저장해두는 임시 저장소.
정보를 사용자 시스템에 저장하기 때문에 History와 비슷한 역할을 수행한다. Cookie에 존재하는 사이트는 방문"했을 수도" 있다. (예외도 있기에 100%로 확정지을 수 없음)

[Host Addr, Cookie 수정 시간, Cookie 만료시간, 이름, 값]

경로 : %profile$\Appdata\Roaming\Microsoft\Windows\Cookies\index.dat

Download

이름 그대로, 사용자가 "의도적으로" Download한 file을 의미한다.

[file 저장 경로, URL, 파일 크기, 시간, 정상 다운로드 여부]

경로 : %profile$\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat

~IE9
캐시 히스토리 쿠키 다운로드 경로
경로 : %profile$\Appdata\Local\Microsoft\Windows\Temporary Internet files\Contents.IE5\index.dat

경로 : %profile$\Appdata\Local\Microsoft\Windows\History.IE5\index.dat

경로 : %profile$\Appdata\Roaming\Microsoft\Windows\Cookies\index.dat

경로 : %profile$\Appdata\Roaming\Microsoft\Windows\Cookies\index.dat

IE10 ~
캐시 히스토리 쿠키 다운로드 경로
경로 : %profile$\Appdata\Local\Microsoft\Windows\WebCache\WebCacheV??.dat

(하나의 파일로 통합되어서 관리된다)


분석 도구 :

ESEDataBaseView (~IE9)
index.dat Analyzer (HTTP 헤더를 보여주지 않으나, HxD로 직접 열어서 본다면 확인할 수 있다. )

BrowsingHistoryView (IE 10 ~ )


디지털 포렌식 기술 (미디어 북, 한국디지털포렌식학회)

post-custom-banner

0개의 댓글