| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- Algorithm
- XSS
- 포렌식
- 프로그래머스
- WarGame
- Programmers
- 문제풀이
- C언어
- 웹해킹
- injection
- CSRF
- 드림핵
- 스터디
- 알고리즘
- hacking
- 자라나는새싹
- 풀이
- dreamhack
- 파이썬
- 자라나는 새싹
- WHS
- 인프런
- BaekJoon
- 백준
- c
- Python
- Web
- command
- 디지털 포렌식
- 워게임
- Today
- Total
Hoin's security
브라우저 아티팩트 개념 및 실습 본문
[지금 무료] 기초부터 따라하는 디지털포렌식 | 훈지손 - 인프런
훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털
www.inflearn.com
이 블로그는 위의 강의를 학습 후 작성된 블로그입니다.
웹 브라우저 (Web Browser)
: 인터넷을 이용하기 위해 실행하는 응용 프로그램
인터넷은 하나의 망을 이야기 하는 것이고 웹 브라우저는 이를 사용하기 위해 실행하는 것.
브라우저를 통해 하는 일들
• 웹 검색
• 로그인
• 파일 다운로드
• 영상 시청
Web Browser Artifacts
: 웹 브라우저가 하는 행동, 데이터, 유저를 위한 기능들을 포렌식 적으로 분석하는 것.
• History: 방문한 URL, 방문 횟수, 방문 시각 등
• Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
• Cookie: 사용자 데이터, 자동 로그인 등
• Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등
도구 및 실습
• 브라우저별 경로
• Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
• Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
• Whale: %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\
Chrome 아티팩트 분석
- History
DB Browser for SQLite
DB Browser for SQLite DB Browser for SQLite (DB4S) is a high quality, visual, open source tool designed for people who want to create, search, and edit SQLite database files. DB4S gives a familiar spreadsheet-like interface on the database in addition to p
sqlitebrowser.org
위 링크로 접속해준다.
Download를 누르면 다운로드를 받을 때 설치 오류가 나거나 설치 파일이 제대로 실행이 안되는 경우가 더러 있다.
이 경우 32비트 설치파일을 다운 받아 실행해주면 정상적으로 실행된다.
- 왜 그러는지는 잘 모르겠다..
위에 경로 중 chrome경로로 가면 History가 있고 이걸 DB squlite로 열어준다. (드래그 앤 드롭.)
이렇게 뜨는데 브라우저 끄고 진행하면 된다.
데이터 보기로 이동해서 테이블을 조정한다.
이렇게 다운 받은 파일들의 시작시간 종료시간, 언제 접근했는지에 대해서도 알 수 있다.
url로 이동하면 탭에 띄워져 있던 url, 타이틀 등이 확인 가능하다.
다운로드 직접 받은 url도 있는데 이건 다운로드 url 체인이라고 따로 테이블이 있다.
여기서는 id번호를 보면 테이블을 변경해가면서 어떻게 다운로드 받았는지 알 수 있다.
시간 정보도 알 수 있고 키워드도 알 수 있다.
url id를 보고 visits로 가서 같은 id의 파일을 확인해주면 사용자가 언제 방문했는지에 대한 정보를 알 수 있다.
엣지 브라우저도 살펴보면 위에 경로를 복사해서 붙여준다.
WebCacheV01.dat 파일을 확인할 수 있고 이를 DB Sqlite로 열어주면 안열린다.
이 파일을 여는 다른 프로그램을 설치해줘야 한다. (ESED 형식이라서 이걸 열 수 있는 프로그램 필요.)
• ESEDatabaseView
https://www.nirsoft.net/utils/ese_database_view.html
View / Open ESE Database Files (Jet Blue / .edb files)
ESEDatabaseView is a simple utility that reads and displays the data stored inside Extensible Storage Engine (ESE) database (Also known as Jet Blue or .edb file).
www.nirsoft.net
요 하이퍼링크 버튼 눌러서 다운받아준다.
압축해제하고 실행시켜준다.
여기에 아까 찾았던 파일을 넣어준다.
에러가 생기는데 이 이유는 윈도우에서 사용중인 파일이라 실행이 안되는거다. 그래서 FTK imager로 추출해줘야한다.
경로 대로 찾아가서 파일을 export해주고 이를 ESEDatabaseView로 열어준다.
제대로 열린다.
여기도 테이블이 있는데 containers를 봐준다.
네임 필드를 보면 어떤 컨테이너에서 어떤 정보를 담고있는지 간단하게 알 수 있다.
BrowsingHistoryView
• https://www.nirsoft.net/utils/browsing_history_view.html
View the browsing history of your Web browser
View the browsing history of all major Web browsers (Firefox, Chrome, Internet Explorer, and more) in one table.
www.nirsoft.net
위 링크로 접속해 도구를 다운받아준다.
압축해제 하고 실행하면 아래와 같은 화면이 뜨는데 ok눌러주고 진행한다.
내가 접속한 브라우저와 정보가 나열된다. (URL, 타이틀, 방문 시간, 접속한 시간 등등)
<이 외에도 유용한 도구들>
Chrome
• ChromeCacheView(캐시 분석해서 텍스트, 스크립트 나열해줌), Hindsight(크롬에 대해 거의 모든 아티팩트를 세세하게 분석해줌)
Edge
• IE10Analyzer, ESEDatabaseView
Whale
• Carpe Forensics
'스터디 > 디지털 포렌식' 카테고리의 다른 글
| Prefetch, MUCache, AmCache & ShimCache (0) | 2024.05.22 |
|---|---|
| [디지털 포렌식] 바로가기(.LNK), Jumplist 개념 및 실습 (0) | 2024.05.15 |
| 디지털 포렌식 스터디 $MFT개념 및 실습, $LogFile, $UsnJrnl 개념 및 실습 (0) | 2024.05.08 |
| [3주차] 디지털 포렌식 스터디 정리 (0) | 2024.04.02 |
| [2주차] 디지털 포렌식 정리 (0) | 2024.03.27 |
