『Digtal Forensic』/Forensics - Windows 2015.12.13 21:57
이번에는 웹 브라우저 사용 흔적에 대해 살펴보자. 인터넷이 안되고 심지어 게임도 삭제한 컴퓨터를 사용한다고 상상해보자. 아마 듣기만 해도 답답할 것이다. 최근 컴퓨터를 이용한 많은 작업이 대부분 인터넷을 활용하고 있다. 이로 인해 점점 더 사용자의 인터넷 사용흔적이 사건을 프로파일링하는데 중요해지고 있다.
사용자는 브라우저를 통해 인터넷을 접근하기 때문에 인터넷 사용흔적은 곧 브라우저의 사용흔적이다. 브라우저는 성능을 높이거나 사용자에게 편의를 제공하기 위해 사용흔적을 저장해둔다. 사용흔적의 저장과 활용 방식은 각 브라우저마다 서로 다르다. 결국, 웹 브라우저 사용흔적은 운영체제에 종속적이기보다는 웹 브라우저의 종류와 버전에 종속적이다.
윈도우 8에서 크롬, 파이어폭스, 사파리는 기존과 동일한 버전을 설치해 사용하면 되지만, 인터넷 익스플로러(이하 IE)는 기본적으로 버전 10이 설치되어 있다. 윈도우 7 환경까지 IE 9가 사용된만큼 윈도우 8에서의 웹 브라우저 사용 흔적은 기존과는 조금 다른 점이 있다. 기존의 IE 9에서 남기는 웹 브라우저 사용흔적은 다음과 같다.(윈도우 7 기준)
| 사용흔적 | 경로 |
| 캐시 | %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\{Random}\{All Files} |
| 히스토리 | %LOCALAPPDATA%\Microsoft\Windows\History\History.IE5\index.dat %LOCALAPPDATA%\Microsoft\Windows\History\History.IE5\{period}\index.dat |
| 쿠키 | %APPDATA%\Microsoft\Windows\Cookies\index.dat %APPDATA%\Microsoft\Windows\Cookies\{All Files} |
| 다운로드 목록 | %APPDATA%\Microsoft\Windows\IEDownloadHistory\index.dat |
| 아이콘 캐시 | %LOCALAPPDATA%\Microsoft\Internet Explorer\xxxxxiconcache.dat |
| 세션복원 정보 | %LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{GUID}.dat %LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\Last Active\RecoveryStore.{GUID}.dat %LOCALAPPDATA%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{GUID}.dat %UserProfile%\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Last Active\RecoveryStore.{GUID}.dat |
| 호환성 목록 | %LOCALAPPDATA%\Microsoft\Internet Explorer\IECompatData\iecompatdata.xml HKU\Software\Microsoft\Intenet Explorer\BrowserEmulation\ClearbleListData\UserFilter |
| DOM 저장소 | %LOCALAPPDATA%\Microsoft\Internet Explorer\DOMStore\index.dat |
주요 사용흔적인 캐시, 히스토리, 쿠키, 다운로드 목록은 인덱싱되어 index.dat로 관리한다. 캐시에는 웹 사이트의 컨텐츠가 캐시되어 저장되고 히스토리에는 방문한 주소가 목록화된다. 히스토리의 주소를 파싱하면 사용자가 입력한 검색어 목록도 추출이 가능하다.
윈도우 8을 설치하고 기존과 동일하게 IE 흔적을 분석해보면 index.dat 파일을 찾을 수 없을 것이다. index.dat 뿐만 아니라 관련 데이터 파일도 존재하지 않는다. 독립된 각각의 파일에 관리하던 웹 브라우저 흔적을 IE 10에서는 하나의 파일로 통합했기 때문이다. 통합 파일은 다음 경로에 위치한다.
- %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV##.dat(##은 숫자)
웹 캐시 파일(WebCacheV##.dat)은 ESE(Extensible Storage Engine) 데이터베이스 형식을 가지고 있다. ESE 형식은 JET Blue라고도 불린다. 원래 JET(Joint Engine Technology)는 마이크로소프트 액세스(Access)에서 사용되었던 기술로 초기 버전은 JET Red라고 불렀다. 이후 업그레이드되어 버전 2가 나오면서 JET Blue라는 이름을 가지게 되었다.
JET Blue 기술은 이후에 Exchange Server, Active Directory, File Replication Service(FRS), Windows Search 등에 사용되어 왔다. 최근의 윈도우 흐름을 보면 데이터베이스가 필요한 요소는 대부분 ESE 형식으로 변환하고 있으므로 ESE에 대해 지속적인 관심을 가질 필요가 있다.
ESE 데이터베이스 형식의 파일은 JET 엔진이 구동되고 있는 윈도우 환경이라면 간단히 JET API를 통해 쿼리할 수 있다. 또한 관련 도구도 많이 나와있으므로 분석에는 어려움이 없을 것이다. 대표적인 도구는 WOANWARE의 EseDbViewer이다. 다음은 EseDbViewer로 웹 캐시 파일의 내용을 살펴본 것이다.
기존의 독립된 파일로 저장했던 사용흔적이 테이블 단위로 나뉘어 저장되어 있다. 각 테이블의 의미는 ‘Containers’ 테이블을 보면 알 수 있다. 하지만, EseDbViewer를 그대로 웹 브라우저 사용흔적 분석에 사용하기에는 다소 불편하다. 각 컨테이너(Container) 테이블의 의미를 교차확인해야 하고 각 테이블의 컬럼의 의미가 명확하지 않은 것들이 있기 때문이다. 그리고 웹 브라우저 흔적이 쌓여 용량이 클 경우에는 전체를 분석하는데 많은 시간이 걸릴 수 밖에 없다.
결과적으로 좀 더 손쉬운 분석을 위해서JET API를 이용해 테이블에 쿼리할 수 있는 기능을 지원하고, 전체 내용에 대한 통합 타임라인 분석이 필요할 것으로 본다. 최근 C#을 공부하는 중이라 시간이 나면 만들려고 계획 중이지만 계획한게 어디 한둘이랴! 관심있는 분들의 많은 참여 부탁드립니다. 편리한 도구를 만들어 배포해주셔도 고맙겠습니다.
출처 : http://forensic-proof.com
