웹 브라우저 포렌식과 아티팩트

1. 웹 브라우저 포렌식

 웹 브라우저 포렌식은 용의자의 컴퓨터에 저장되는 웹 브라우저 사용 흔적을 디지털 포렌식적인 방법을 이용하여 조사하는 것을 의미한다. 즉, 웹 브라우저가 남기는 로그파일을 분석하는 것이다.

*로그: 컴퓨터의 처리 내용이나 이용상황을 시간의 흐름에 따라 기록한 것, 또 PC통신에서 메일 등 통신 내용의 기록을 말하기도 함. (이 파일을 로그파일이라고 함.)

 

디지털 증거는 생성증거와 보관증거 두가지로 나뉜다.

구분	정의	예시
생성증거	시스템이나 애플리케이션이 자동으로 생성한 데이터	윈도우 시스템에서 레지스트리,  프리/슈퍼패치, 이벤트로그 등
보관증거	사람의 사상이나 감정을 표현하기 위해 작성한 데이터	직접 작성한 메일 내용, 블로그 작성 내용, 직접 작성한 문서 등

.

 

2. 아티팩트의 개념과 종류

 아티팩트란 디지털 포렌식에서 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 말하며, 웹 캐시, 웹 히스토리, 웹 다운로드 목록, 웹 쿠키 등이 있다.

• 웹 캐시(Cache): 기존에 방문했던 웹사이트를 재방문할 때 변경되지 않은 정보는 다시 다운받지 않고 캐시에서 로딩 하는 방식이다. 이미지, 텍스트, html, xml, 스크립트 파일 등 웹 페이지를 표현하기 위한 다양한 데이터들을 포함하며, 자동으로 다운받아지는 콘텐츠이다. 접속 URL, 캐시파일정보(저장시간, 파일명, 타입, 크기, 경로) 등의 정보를 제공한다.

• 웹 히스토리(History): 웹 사이트 방문 시 웹 사이트 정보를 분류해 저장한다. URL, 접속시간, 접속 횟수, 페이지 제목 등의 정보를 제공한다.

• 웹 다운로드 목록(Download File List): 사용자가 다운로드한 파일을 말하며, 의도치 않게 다운로드 된 파일(ex: 캐시)과 구분된다. 파일저장경로, 다운로드 URL, 파일크기, 시간, 정상다운로드 여부 등의 정보를 제공한다.

• 웹 쿠키(Cookie): HTTP 통신에서 접속상태를 유지할 수 있도록 사용자의 정보를 잠시 저장해두는 임시저장소이다. 정보를 사용자 시스템에 저장하기 때문에 히스토리와 마찬가지로 방문한 페이지에 대한 정보를 제공하기도 한다. 즉, 쿠키에서 확인되는 URL 또한 사용자가 직접 방문한 사이트일 거라고 추측이 가능하다는 의미이다. 호스트경로, 쿠키 수정시간, 쿠키 만료시간, 이름, 값 등의 정보를 제공한다.

• 윈도우 이벤트 로그는 윈도우 시스템을 사용하는 동안 발생되는 모든 내용을 시간순으로 기록하는 로그 파일이며, ‘ .evt’ 확장자명을 가진다. 로그파일을 계속해서 기록하는게 아니라 일정한 크기가 되면 덮어쓰는 방식으로 기록을 하기 때문에, 모든 로그를 기록하지는 못한다. 이벤트 로그는 응용 프로그램 로그, 보안로그, 시스템 로그로 나눌 수 있다.

네이버 웨일(Naver Whale)의 아티팩트가 저장되어 있는 경로

 

3. 아티팩트 분석도구

웹 포렌식을 하기 위해서는 브라우저의 아티팩트가 저장되는 위치를 찾고 이해하며,

적절한 포렌식 도구를 사용하여 분석해야 한다.

아래의 사이트는 아티팩트 분석도구에 대해서 정리해 둔 것으로,

IE, Firefox, Chrome, Safari의 기준으로 작성되어 있다.

 

http://forensic.korea.ac.kr/DFWIKI/index.php/%EC%9B%B9%EB%B8%8C%EB%9D%BC%EC%9A%B0%EC%A0%80_%EC%82%AC%EC%9A%A9%ED%9D%94%EC%A0%81_%EB%B6%84%EC%84%9D_%EB%8F%84%EA%B5%AC

웹브라우저 사용흔적 분석 도구 - Digital Forensic Wikipedia