1. Web Browser
웹 브라우저에서 저장하는 것들
접근 기록, 웹 검색 기록, 로그인, 파일 다운로드 정보, 영상 시청 정보 등
Web Browser Artifact
- History: 방문 url, 횟수, 시각
- Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기
- Cookie: 사용자 데이터, 자동 로그인 정보
- Download list: 저장 경로, url, 크기, 시간, 성공 여부
경로
- Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
(다중 사용자의 경우 Default 대신 각 프로파일별로 기록되는 듯) - Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
- Whale: %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\
1) Chrome
DB Browser를 통해 History를 살펴볼 수 있다.
- downloads: 저장 경로, 시각, 성공 여부
(다운로드 링크는 downloads_url_chains에서 id로 확인 가능)
- url: 방문 url, 페이지 title, 방문 횟수, 마지막 방문 시각
- visits: url id로 자세한 방문 정보 확인 가능
2) Edge
ESEdatabaseView를 통해 WebCacheV01.dat를 살펴볼 수 있다.
- Containers: 각 Container가 어떤 정보를 담고 있는지 확인
EX) container_2: History
Browing History View
각 브라우저의 history를 모두 모아서 한눈에 보기 편함
브라우저별 도구들
Chrome
- ChromeCacheView
- Hindsight
Edge
- IE10Analyzer
- ESEDatabaseView
Whale
- Carpe Forensics
2. ThumbnailCache & IconCache
1) ThumbnailCache
Thumbnail: 미리보기 이미지
Windows에서는 썸네일 이미지를 미리 생성하여 DB에 보관
파일이 삭제되어도 ThumbnailCache는 사라지지 않는다.
경로: %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
미리보기 크기 별로 다른 db에 저장: thumbcache_[크기].db
2) IconCache
Windows 아이콘을 보여주기 위한 캐시
기본 아이콘이 아닌 경우 저장됨 주로 응용 프로그램
외부 저장 매체 사용 흔적이 될 수 있음
응용프로그램이 삭제되어도 IconCache는 사라지지 않는다.
경로: %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
Thumbcache Viewer
3. Windows Timeline
Windows Timeline
- 사용자가 실행하고 있는 응용프로그램
- 사용자가 과거 실행했던 응용프로그램
- 최대 30일 동안의 사용자 행위를 저장
- Windows + Tab 버튼으로 실행
경로
유저 계정에 따라 경로가 달라짐
- 로컬 계정: L.{로컬 계정명}
- 마이크로소프트 계정: {마이크로소프트 식별자(CID)}
- Office 365 & AAD 계정: AAD.{보안 식별자(SID)}
%UserProfile%\AppData\Local\ConnectedDevicesPlatform{계정명}\ActivitiesCache.db
ActivitiesCache.db
- Activity: 응용프로그램 실행 기록, 실행 시간 등
- ActivityOperaion: 생성 혹은 삭제 이벤트
- Activity_PackageId: 앱별 패키지 이름
