본문 바로가기

[+] Forensic

Internet Explorer 10 Forensic

지금까지 Internet Explorer는 많은 발전을 해왔고 인터넷 역사에 한 획을 그었다고 할 수 있다. 그만큼 사람들이 많이 사용하는 브라우저이기 때문에 디지털 포렌식 관점에서도 브라우저에서 생성 되는 디지털 흔적들을 많이 발견하는 연구가 진행되어 왔다. 그 연구 성과들은 인터넷 검색을 통해 쉽게 접할 수 있는데, 이번 Internet Explorer는 이전(IE 9)과는 그 흔적의 위치가 달라 따로 이렇게 글을 남겨본다.


Windows 7 까지 기본적으로 포함되어 있던 IE는 쿠키나 히스토리 등의 흔적을 각각의 index.dat 파일로 남겼었다. 하지만 Windows 8에 포함되어 있는 IE10은 이런 index.dat 파일이 존재하지 않는다.


[그림 1 - Windows 8의 History 디렉토리]


이전과 동일 했다면 [그림 1]에서 보이는 경로에는 container.dat이라는 파일 대신 index.dat 파일이 존재해야만 한다. Windows 8에는 index.dat 파일 대신 container.dat이라는 파일이 각 디렉토리에 존재하는데 이 파일에는 아무런 데이터가 저장되어 있지 않다.

이렇듯 Windows 8에는 index.dat 파일이 존재하지 않고 index.dat 파일의 데이터를 모두 WebCacheV24.dat 라는 하나의 파일로 통합시켜 그 흔적을 저장하고 있다.  WebCacheV24.dat 의 파일 경로는 다음과 같다.


 - \Users\%User name%\AppData\Local\Microsoft\Windows\WebCache


[그림 2 - WebCacheV24.dat 파일]


이 파일은 ESEDB(Extensible Storage Engine Database File) 파일 형식으로 이루어져 있는데 파일 판별은 간단하게 시그니처(ef cd ab 89)를 찾아 확인 할 수 있다.


 * 참고 : ESEDB 포맷은 다른 일반 파일 포맷과 다르게 시그니처 위치가 오프셋 4 위치이다. 0~3 오프셋은 파일의 체크섬이다.


[그림 3 - WebCacheV24.dat 파일 시그니처]


ESEDB의 파일 구조가 궁금하다면 'Forensic examination of Windows Live Messenger 2009 Extensible Storage Engine' 문서를 참고하기 바란다. 그리고 현재 ESEDB를 분석 할 수 있는 도구는 2개 정도로 EsEDbViewer, libesedb가 있는데 다음 그림은 EsEDbViewer로 WebCacheV24.dat 파일을 오픈한 화면이다.


[그림 4 - EseDbViewer]


테이블 중 Containers 라는 테이블을 클릭하면 각 Container들에 대한 정보를 볼 수 있다. 테이블 칼럼 중 ContainerId 부분의 값과 여러개의 Container 테이블들의 번호와 일치하는 것을 볼 수 있다. 그리고 각 Container가 어떤 디렉토리의 정보를 담고 있는지 Directory 칼럼에서 확인 할 수 있다. 이 정보를 확인 한 후 분석하고자 하는 Container 테이블로 가서 분석을 수행하면 된다.


[그림 5 - History Container 테이블]


[그림 5]는 History에 해당 하는 Container 2 테이블을 확인 한 모습이다. 많은 칼럼이 존재하고 방문 횟수부터 시작해서 방문 URL, 방문 시간 등등의 정보들이 저장되어 있다. 한번 스스로 확인 해 보는 것이 이해하는 면에서나 기억하는 면에서 훨씬 좋을 것이다. 아마 이 글을 보며 분석이 이전 IE들에 비해서 수월하다고 느껴졌을 것이다. 당연히 분석을 수행 해 보면 그 느낌을 더 확고히 받을 것이다. 하지만 해당 파일만 지워지면 모든 데이터가 사라진다는 것을 명심하자. 또 해당 파일이 지워졌을 경우 파일 카빙을 대비 해 파일의 구조를 면밀히 알아두어야 한다는 것도 잊지 말자.

'[+] Forensic' 카테고리의 다른 글

N Drive Forensic Artifact  (6) 2012.09.16
Exif 포맷의 사진 데이터 조작 여부 판단 방법  (3) 2012.09.15
iOS Forensic - (4)  (0) 2012.08.16
iOS Forensic - (3)  (0) 2012.08.15