안녕하세요. 도깬리 포렌식스 입니다.
인터넷 아티팩츠 2번째 시간이네요. 전 시간에 이어서 Internet Explorer 에 대해 설명을 이어가겠습니다. 사실 최근의 인터넷 아티팩츠는 주로 Chrome 위주로 재편되고, MS 전용인 Edge나 IE V10 이후 버전은 아래의 설명과는 달리 WebCacheV01.dat 라는 통합 DB에 저장됩니다. 이에 관해서는 차후 설명할 시간이 있을 겁니다. 우선은 IE 구버전의 아티팩츠를 숙지하도록 합시다. 자, 오늘도 활기차게.....
[Evidence Processor] -> [Find Internet Artifacts]
Record 탭에서 결과를 확인합니다.
히스토리 Record의 컬럼 항목
Name
레코드 데이터를 포함하고 있는 소스 파일 이름입니다.
Profile Name
사용자 프로필 이름입니다.
URL Name
엔트리의 URL 주소입니다.
URL Host
URL 호스트 도메인입니다.
Expiration
웹브라우저의 설정에 의해 레코드가 히스토리에서 삭제되는 날짜입니다.
Visit Count
사용자가 웹사이트를 방문한 횟수입니다.
Last Accessed
레코드에 마지막으로 접근된 날짜입니다.
Browser type
레코드를 생성한 브라우저입니다.
Conditions를 이용하여 인터넷 검색 흔적 찾기
인터넷 히스토리 – 웹 캐시 (Web Cache, Temporary Internet Files, TIF)
웹 캐시에는 사진 파일 뿐만 아니라, HTML 페이지, XML, 텍스트, 동영상, 프로그램 코드 등 모든 정보가 포함됩니다.
EnCase의 EP(Evidence Processor)는 캐시 폴더에서 발견된 사진 등의 소스 URL을 찾아 함께 보여줍니다.
‘인터넷 히스토리’ 파싱 -> 키워드 분석 -> 결과 보기’ 과정
이메일을 파싱하여 키워드 분석하는 경우와 같습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics 2
'EnCase' 카테고리의 다른 글
| [EnCase] 윈도우 휴지통 (Recycle.bin) 분석 (1) (0) | 2022.05.06 |
|---|---|
| [EnCase] 인쇄의 흔적 (Print Spooling) 분석 (0) | 2022.05.04 |
| [EnCase] 인터넷 아티팩츠 분석 (1) (0) | 2022.04.27 |
| [EnCase] 이메일 분석 (Email Analysis) (0) | 2022.04.25 |
| [EnCase] 컨디션 (Condition) 기능 (0) | 2022.04.23 |