Web Forensic

 

웹 브라우저가 남기는 로그파일을 분석

• Cache, History, Cookie, Download list
• Cache: 웹 사이트 접속 시 방문 사이트로 부터 데이터를 자동으로 다운받는 데이터 → 빠른 웹 페이지 로딩이 목적

Cache 인덱스 정보 분석

• Cache 인덱스 정보 분류 ( 다운로드 URL/ 시간/ 데이터 파일명 등)
• URL+시간 → 특정 시간에 사용자가 어떤 행위를 했는지 유추
• html 파일이 cache 데이터로 저장된 경우
• 캐시 데이터: 다운받은 데이터 (이미지, 텍스트, 아이콘 등)
• 캐시 인덱스 정보: 캐시 데이터 위치, 다운로드 URL, 시간 크기 등

History 정보란?

• 사용자가 방문한 웹사이트의 접속 정보
• 사용자의 편의를 위해 저장

Cookie 정보란?

• 웹 사이트에서 사용자의 하드디스크에 저장시켜놓는 사용자에 관한 데이터
• 호스트/경로/쿠키 수정시간/쿠키 만료시간/이름/값이 들어있음
• 접속 사이트/사용한 서비스 유추/해당 사이트 마지막 접속 시간/로그인 아이디 정보획득 등 많은 것을 알 수 있음

Download List 정보란

• 사용자가 의도적으로 선택해서 자신의 컴퓨터로 내려받은 파일에 대한 정보
• 사용자의 편의를 위해 저장됨

index.dat란

• IE에서 사용하는 로그 파일 구조
• 캐시, 히스토리, 쿠키, 다운로드 정보를 가지고 있음
• Header, HashTables, Activity Record Type( URL/ REDR/ LEAK)

profiles.ini 파일안에 정보가 수집됨

firefox는 sqlite database 파일 형태로 history, cookie,Download list가 저장된다.

Chrome은 DOwnload정보는 history 정보와함께 history파일에 저장됨

Cache 정보

• data_0 파일에 데이터 인덱스 정보를 ,data_1~3과 나머지 파일에 캐시 데이터가 저장됨
• Cache 폴더 아래 모든 파일 수집

SAFARI

로그 파일 수집 방법:

Cache 데이터, 인덱스 정보 모두 SQLite DB인 cache.db파일에 저장됨

History, Cookie,Download list 정보는 Plist 파일 형태로 저장(~.Plist)

OPERA

cache 인덱스 정보는 dcache4.url에 저장됨

Cache 데이터 정보는 cache 폴더아래 각 서브폴더에 파일 형태로 저장

여기는 dat파일로 OPERA 폴더 아래에 저장되어 있다.

심층 분석

• 타임라인 분석
• 웹 브라우저의 사용내역을 일련의 시간의 흐름으로 재구성
• URL 구조 분석을 통해 GET방식의 검색어 찾기
• 아스키 코드 이외의 문자는 Encoding 됨

Local file open 정보 분석

• 사용자 컴퓨터에서 열어본 파일에 대한 정보
• IE 히스토리 정보에 포함됨

포렌식 분석 도구

WEFA(Web Browser Forensic Analyzer)

• 분석 대상 브라우저 (IE, Firefox,Chrome,Safari~)

기능

• Cache,History.Cookie,Download List, Lodcalfileopen 정보 분석
• 타임라인 분석, 검색어 추출, 사용자 행위 분류, URL 인자값 분석
• 웹 브라우저 로그파일 추출
• 검색 기능, CSV 출력 기능, 보고서 작성 기능

WEFA로 얻어낸 정보는 직접 증거로 사용할 수 없다. 정황증거, 간접증거로 사용 가능