Web과 관련한 아티팩트는, IE 기준 Cache, History, Cookie, Download 등으로 구분할 수 있다.
또한, IE는 ~9 / 10 ~ 으로도 다시 한 번 구분할 수 있다.
각각의 아티팩트에 대해서 먼저 살펴보자.
Cache
기존 방문한 Web site를 재방문할 시, 변경되지 않은 정보는 다시 다운받지 않고, Cache에서 불러와 속도를 향상시킨다. 이미지, 텍스트 html, xml, 스크립트 등 사이트를 표현하는 다양한 정보들을 포함한다.
[접속 URL, Cache 파일 Meta data(시간, 이름, 크기, 경로)]
경로 : %profile$\Appdata\Local\Microsoft\Windows\Temporary Internet files\Contents.IE5\index.dat
History
Web site 방문 시, 사이트 정보를 분류해서 저장한다
[URL, 접속 시간, 접속 횟수, 페이지 제목]
경로 : %profile$\Appdata\Local\Microsoft\Windows\History.IE5\index.dat
Cookie
HTTP 통신에서 접속상태를 유지할 수 있도록, 사용자의 정보를 저장해두는 임시 저장소.
정보를 사용자 시스템에 저장하기 때문에 History와 비슷한 역할을 수행한다. Cookie에 존재하는 사이트는 방문"했을 수도" 있다. (예외도 있기에 100%로 확정지을 수 없음)
[Host Addr, Cookie 수정 시간, Cookie 만료시간, 이름, 값]
경로 : %profile$\Appdata\Roaming\Microsoft\Windows\Cookies\index.dat
Download
이름 그대로, 사용자가 "의도적으로" Download한 file을 의미한다.
[file 저장 경로, URL, 파일 크기, 시간, 정상 다운로드 여부]
경로 : %profile$\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat
~IE9
캐시 히스토리 쿠키 다운로드 경로
경로 : %profile$\Appdata\Local\Microsoft\Windows\Temporary Internet files\Contents.IE5\index.dat
경로 : %profile$\Appdata\Local\Microsoft\Windows\History.IE5\index.dat
경로 : %profile$\Appdata\Roaming\Microsoft\Windows\Cookies\index.dat
경로 : %profile$\Appdata\Roaming\Microsoft\Windows\Cookies\index.dat
IE10 ~
캐시 히스토리 쿠키 다운로드 경로
경로 : %profile$\Appdata\Local\Microsoft\Windows\WebCache\WebCacheV??.dat
(하나의 파일로 통합되어서 관리된다)
분석 도구 :
ESEDataBaseView (~IE9)
index.dat Analyzer (HTTP 헤더를 보여주지 않으나, HxD로 직접 열어서 본다면 확인할 수 있다. )
BrowsingHistoryView (IE 10 ~ )
디지털 포렌식 기술 (미디어 북, 한국디지털포렌식학회)
