웹 포렌식 (Web forensic)

웹 포렌식 (Web forensic)

각 브라우저 별로 로그파일 경로를 살펴본다. 

 

Internet Explorer(IE5, windows 7 기준)

Index.dat 이라는 로그 파일 구조를 가지고 있고 앞서 말한 로그 정보들을 담고 있다.

Index.dat 로그 파일은 Header, Hash Tables, Activity Record Type으로 구성되어 있다. 

 

로그 정보별로 수집 방법을 살펴본다. 

Cache : 다운로드 된 Cache 데이터는 Temporary Internet 파일 형태로 저장된다. 

Content.IE5 폴더 아래 index.dat과 폴더들이 존재하고 폴더들에는 Temporary Internet 파일들이 존재한다.

Index.dat 파일은 Temporary Internet 파일들의 인덱스 정보를 가지고 있다. 

 

History : History.IE5 폴더 아래 Index.dat 파일과 폴더들이 존재하고 각 폴더는 일간/주간으로 나누어져 각 폴더 안에 Index.dat 파일이 저장되어 있다. 

 

Cookie : Cookie 폴더 아래 Index.dat 파일과 txt 파일이 존재한다. Index.dat 파일은 쿠키 파일들의 인덱스 정보를 저장한다.

 

Download List : IE9 버전 이후부터 존재하며 IEDownloadHistory 폴더 아래 index.dat 파일로 존재한다. 

 

Firefox

Cache : Cache Map File, Separate Cache Data Files, Three Cache Block Files 구조로 이루어져 있다. 

Cache Map File(_CACHE_MAP_, _CACHE_001_, CACHE_002_, _CACHE_003_) 파일에는 각 Cache 인덱스 정보가 저장되어 있다.

인덱스 정보를 바탕으로 Meta 데이터와 Content 데이터가 Separate Cache Data Files와 Three Cache Block Files에 저장되어있다.

Cache 폴더 아래 Cache Map File과 폴더들이 존재한다. 

 

History, Cookie, Download List : SQLite Database 파일 형태로 각각 저장되어 있다. 

History : places.sqlite, Cookie : cookies.sqlite, Download list : downloads.sqlite

xxxxxx.default 폴더 아래 위 파일들이 존재한다.

 

Chrome

Cache : data_0 파일에 데이터 인덱스 정보, data_1, data_2, data_3 파일과 나머지 파일에 캐시 데이터가 저장되어 있다. 

Cache 폴더 아래 위 파일들이 저장되어 있다. 

 

History, Cookie, Download List : SQLite Database  파일 형태로 저장되어 있다. 

History : History Index <년-월> SQLite 파일로 저장, Cookie : Cookies SQLite 파일로 저장,  Download : History 정보와 함께 History SQLite 파일 안에 저장되어 있다. 

Default 폴더 아래 위 파일들이 존재한다.

 

safari

Cache : SQLite Database인 Cache.db 파일에 저장되어 있다. 

safari 폴더 아래 Cache.db 파일이 존재한다. 

 

History, Cookie, Download List : Plist 파일 형태로 저장되어 있다.

History : History.plist, Cookie : Cookies.plist, Download list : Downloads.plist

Cookies 폴더 아래 Cookies.plist 파일이 존재하고 safari 폴더 아래 History.plist, Downloads.plist 파일이 존재한다.

 

Opera

Cache : 인덱스 정보는 dcache4.url 파일에 저장되어 있고 데이터 정보는 cache 폴더 아래 각 서브 폴더에 파일 형태로 저장되어 있다. 

 

History, Cookie, Download List :

History : global_history.dat, Cookie : cookies4.dat, Download List : download.dat

Opera 폴더 아래 각각의 파일들이 있다.

 

이렇게 얻은 로그들을 분석하는 방법을 살펴보도록 한다.

1. 시간 정보를 통해서는 타임라인 분석이 가능하다. 

웹 브라우저의 사용내역을 일련의 시간의 흐름으로 재구성하여 사용자의 사이트간 이동 경로를 파악하고 행위를 분석한다. 

 

2. 검색어 정보를 통해 분석이 가능하다.

용의자가 입력한 단어, 문장등을 통해 용의자의 범행 동기, 수법, 목적 등의 내용을 파악할 수 있다.

검색 사이트 별로 키워드 변수가 다른데 가장 많이 사용하는 google의 경우에는 키워드 변수가 q 이다. 

google에서 forensic을 검색하면 다음과 같이 URL이 생성되는 것이다.

http://www.google.com/search?hl=en&source=hp&q=forensic&aq=f&oq=&aqi=g10

여기에 URL이 Encoding 되는 경우가 있다. 

http://www.google.com/search?hl=en&source=hp&q=%ED%8F%AC%EB%A0%8C%EC%8B%9D&aq=f&oq=&aqi=g10

이런 식으로 Encoding 되는 것이다. 

google에서는 UTF-8 방식으로 Encoding을 하며 Encoding 방식에 맞추어 Decoding을 해야 분석이 가능하다.

 

3.사용자 행위 분류 키워드를 통해 분석이 가능하다.

검색, 메일, 카페, 블록, 뉴스, 게임, 쇼핑, 동영상, 음악, 은행 등 사용자의 행위에 따라 키워드를 통해 분류를 하고 분석이 가능하다.

 

4.열어본 파일을 통해 분석이 가능하다. 

열어본 파일의 경로와, 열람 시간을 통해 사용자가 열어본 파일을 파악할 수 있다. 

 

이렇게 다양한 로그 정보들이 존재하게 되는데 이를 효과적으로 분석하기 위한 도구가 존재한다. 

대표적으로 WEFA가 존재한다.

WEFA

WEFA는 앞서 말한 로그들을 분석하고 앞서 말한 분석 방법들로 분석을 해준다. 

웹 브라우저 별로 로그파일을 추출하고 검색기능, CSV출력 기능, 보고서 작성 기능을 가지고 있다.