본문 바로가기

[+] Forensic

Web Browser

이번글에서는 웹 브라우저에 대해서 분석 해 볼 것이다.
웹 브라우저는 기본적으로 사용자가 웹 브라우저에서 행해졌던 모든 행위들을 기록해 두는데 이러한 정보들은 조사관들에게 중요한 정보이다.
많은 웹 브라우저들이 있지만 이 글에서는 크로에 대해 분석 해 볼 것이다.
크롬은 구글에서 만든 웹 브라우저로 현재 점유율 상승이 빠른 브라우저이다.

[포렌식 정보 파일]
크롬은 여러가지 정보를 저장하는데 이 정보들 중에서 조사관에게 필요한 정보만 알아보도록 하겠다.

 1. History 파일 : 해당 파일은 웹 브라우저에서 행해지는 모든 행동을 저장해두는 파일이다.
     - 해당 파일은 전체 행위를 담은 History 파일과 월별 접근 페이지를 기록한 파일로 나뉜다.

[그림 1 - History]

 2. Top Sites : 사용자가 얼마나 자주 어떠한 페이지에 접근하는지 기록해 두는 파일이다.

 * 참고 : 크롬 정보 기본경로 : C:\Users\<Username>\AppData\Local\Google\Chrome\User Data\Default 


이제부터 위 파일 두가지를 하나씩 알아보겠다.

[History 파일]
해당 파일은 SQLLite 파일로 파일안에는 여러가지 테이블이 있으며 이 중 중요한 테이블만 알아보도록 하겠다.

 - downloads : 브라우저를 통해 사용자가 다운로드 받는 행위에 대한 정보를 기록하는 테이블

[그림 2 - downloads]

 - urls : 접근 URL과 접근 회수등이 기록된 테이블

[그림 3 - urls] 

 - keyword_search : 어떠한 검색 키워드를 입력하였는지 기록하는 테이블(urls와 연계한 분석이 필요)

[그림 4 - keywords_search] 

[월별 History 파일]
해당 파일은 월별로 접근한 페이지를 나눠줌과 동시에 접근한 페이지에 내용을 기록한다.
 - page_content : 페이지별 URL, 내용을 저장하는 테이블

[그림 5 - page_content.c2body]

* 참고 : 해당 History 파일은 이전 월까지 파일이 생기는 것이 아닌 해당 월의 파일까지 생성된다.

 


[Top Sites]
해당 파일은 SQLLite 파일로 특정 URL 접근 상대빈도수를 기록한다.
 - Thumbnail : URL별 접근 경로와 다른 URL과의 상대빈도수를 기록한다.

 [그림 6 - Thumbnail] 


위와 같은 정보들은 조사에서 주요부분을 차지하지는 않지만 조사진행에 있어서 도움이 되는 정보들이다.

위 정보들의 타임라인 분석등과 다른 분석자료들을 취합한다면 좀 더 정확한 결과물이 나올 것이다.

* 참고 : IE에서는 이러한 정보들이 index.dat 파일에 저장되어 있으며 해당 파일의 Viewer는 많이 개발되어 있다.

'[+] Forensic' 카테고리의 다른 글

데이터 수집  (0) 2012.01.15
하드디스크의 숨겨진 영역  (2) 2012.01.15
Web Browser  (0) 2012.01.13
썸네일(Thumbnail) 파일 분석  (2) 2012.01.12
프리/슈퍼패치 파일  (0) 2012.01.12