본문 바로가기
보안/포렌식

인터넷 사용 기록 포렌식 프로그램 (인터넷 익스플로러 10, 11, 엣지 브라우저)

모아이모아이 2015. 1. 26. 00:10

인터넷 익스플로러 10, 11, 엣지 브라우저로부터 인터넷 사용 기록을 학인하고 삭제된 기록을 복구하는 방법에 대해서 설명한다.


Web browser forensic tool : internet explorer 10, 11 and Microsoft Edge


다운로드 : http://moaistory.blogspot.com/2016/08/ie10analyzer.html


프로그램 설명http://moaistory.blogspot.kr/2016/07/internet-explorer-10-microsoft-edge.html


프로그램이름 : IE10Analyzer

프로그램환경 : .Net 4.0 버전이상 설치 필요

프로그램장점:

 - 삭제된 레코드 복구 

 - Private 브라우징 데이터 확인 가능

 - 라이브 시스템 분석 가능 (WebCacheV01.dat 자동 추출)

 - 파일의 상태와 상관없이 분석 가능(Dirty 상태도 가능)

 - 다른 도구보다 많은 정보를 보여줌 (다운로드 경로, HTTP 응답 헤더, 웹 페이지 타이틀)

 - sqlite와 csv 파일 형태로 저장가능

 - UTC 타임 변환 기능


기능 1 : 현재 컴퓨터(Live 시스템)에서 삭제된 레코드 복구, 이 파일의 상태는 당연 Dirty 상태


1) Extract WebCacheV01.dat from current system and then open the file을 선택


2) Recovery deleted records 선택




3) 파일 추출이 완료되면 UTC 타임존을 선택 (한국은 +9시이다)




4) 파일 복구가 완료되었다.



기능 2 : InPrivate Browsing 기록 확인 

(Private 브라우징이란? 컴퓨터에 기록이 남지 않는 웹 브라우징 기술)


1) IE11 실행 -> 도구-> 안전 -> InPrivate 브라우징으로 IE 실행




2) Type 칼럼에 [PirvateBrowsing]이라 표시된 기록이 프라히빗 브라우징 사용 결과이다.

 - 확인해본 결과 Content 테이블에 사용기록이 많이 남는다. 

 - 이 기록은 트랜잭션 처리가 되면서 삭제된다

 - 따라서 Dirty 상태이거나 삭제된 레코드 복구 기능을 할 때 더 많은 사용기록을 확인할 수 있다.




기능 3 : 더 많은 정보 확인 (다른 포렌식 도구에 없는 유일한 기능)


1) 다운로드 정보 확인 (다운로드 경로, 파일 이름, 다운로드 사이트, 기타...)

 - 포렌식 분석가들은 잘 모를 수 있지만 Internet Explorer 10에도 다운로드 정보가 저장된다.

 - 본 사진은 한 행을 더블클릭해서 실행된 창이다. (좀더 자세히 볼 수 있다.)




2) HTTP Response Header

 - 최근 대부분의 악성코드는 플래시, 실버라이트, 자바, 낮은 IE버전의 취약점에 의해 걸리게 된다. 

 - 따라서 어떻게 악성코드에 감염되었는지 확인하기 위해선 반드시 Response Header를 분석해주어야 한다.




3) 웹페이지 타이틀

 - 네이버 블로그, 카페 또는 웹사이트에 들어가면 브라우저 상단에 있는 타이틀을 볼 수 있다.

 - 이 기능을통해 방문한 url을 보지 않더라도 한번에 사용자가 어느 사이트를 방문했는지 확인이 가능하다.




IE10, IE11의 특징


 - 인터넷 익스플로러는 10버전부터 index.dat이 아닌 WebCacheV01.dat에 그 사용기록을 저장한다. 

 - 윈도우10에서 처음 사용된 Microsoft Edge 브라우저 또한 WebCacheV01.dat에 그 사용기록을 저장한다. 


저장경로 : 


Program 

Path 

File Name 

Microsoft Edge

 %LOCALAPPDATA%\Spartan\Database

 WebCacheV01.dat

Internet Explorer 10 

 %LOCALAPPDATA%\Microsoft\Windows\WebCache

 WebCacheV01.dat



기존의 분석도구의 문제점


 - index.dat (IE9버전 이하) 포렌식 도구는 WEFA와 같이 많이 존재한다

 - 하지만 WebCacheV01.dat을 분석할 수 있는 도구는 많지않다. 

 - 대표적으로 ESEDatabaseView와 EseDbViewer가 있지만 이 도구는 큰 문제를 가지고 있다. 

 - 두 도구 모두 ESE 데이터베이스 분석도구 이기 때문에 브라우저 분석에 적합하지 못하다. 

    (URL 디코딩, 다운로드 기록, 웹페이지 타이틀 정보들을 볼 수 없다.)

ESEDatabaseView

 - 테이블 구조가 복잡할 경우 빈 화면 출력 

 - 잘못된 값 출력

 - 값의 일부분만 출력



ESEDbViewer

 - Dirty 상태의 파일 사용 불가

 - 수집환경과 동일한 환경에서 사용해야함


'보안 > 포렌식' 카테고리의 다른 글

증거 수집  (0) 2015.02.17
침해사고  (0) 2015.02.16
Volume Snapshot Service 조사하기  (0) 2014.12.06
TSK  (0) 2014.02.07
FAT : 삭제한 파일 복구  (0) 2014.02.07

'보안/포렌식' Related Articles

티스토리툴바