[EnCase] 인터넷 아티팩츠 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 인터넷 접속 흔적에 대해서 살펴 보겠습니다. 과거에 가장 많이 사용하였던 Internet Explorer를 중심으로 설명합니다. 현재 가장 많이 사용하는 구글 크롬에 대해서는 차후에 시간을 내어 설명하겠습니다.

 

Internet Explorer

웹브라우저 사용내역이 index.dat에 저장됩니다.

Cookies, History(IE, WE 모두 포함), TIF(Temporary Internet Files) 등이 있습니다.

Windows Explorer를 통한 로컬 파일 접근 내역도 index.dat에 저장됩니다.

Windows XP에 비하여 Windows 7 이후 버전은 보호모드 등으로 인하여 상당히 복잡해졌습니다.

 

 

Internet Explorer의 구성요소

index.dat 파일은 구조는 비슷하지만 서로 다른 종류의 데이터를 저장하고 있습니다.

특히, 날짜/시간 값은 index.dat 마다 그 의미가 다를 수 있습니다.

 

Cookie

Index.dat 파일은 쿠키 기록을 저장합니다.

실제 쿠키는 .txt 형태로 저장됩니다.

 

Main History Index.dat

전체적인 현재의 히스토리를 의미합니다.

히스토리에는 IE 뿐만 아니라 WE 접속 기록도 포함됩니다. * WE : Window Explorer

윈도우 탐색기에서 취한 행동은 file:/// 로 시작된 엔트리로 기록됩니다.

EnCase에서는 Visited Link 라는 Records 폴더에 저장합니다.

 

Daily History Index.dat

일 단위 날짜 범위 폴더내에 저장됩니다.

일일 히스토리는 주간 폴더로 이동하고, 이동후 일일 폴더는 삭제됩니다.

 

Weekly History Index.dat

주 단위 날짜 범위 폴더내에 저장됩니다.

 

Temporary Internet Files Index.dat

IE를 통해 접근한 웹페이지에 나타나는 캐시된 파일을 저장합니다.

캐시된 파일은 이름 지정시 충돌을 피하기 위해 컴퓨터에 저장될 때 이름이 바뀌어 저장되기도 합니다.

Index.dat는 파일의 새로운 이름을 저장합니다.

캐시된 파일을 저장하기 위해 최소 4개의 폴더가 무작위로 생성됩니다.

하나의 웹사이트에서 캐시된 파일은 여러 폴더에 나뉘어 저장됩니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)