[AXIOM] 인터넷 아티팩츠 분석기능 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM에서 인터넷 분석기능에 대해 알아 보겠습니다. AXIOM의 인터넷 분석 기능은 AXIOM의 가장 뛰어난 기능 중에 하나입니다. 자 시작해볼까요...

 

Web Related Artifacts

AXIOM은 다음의 웹브라우저 아티팩츠에 대한 분석을 지원합니다.

- 360 Safe Browser

- Googl Chrome

- Mozilla Firefox

- Microsoft Edge

- Internet Explorer 10-11

- Internet Explorer Legacy versions (version9 and earlier)

- Opera

- Apple Safari

- SBO

- XBOX 360 Internet Explorer

 

 

Browser Artifacts And Refined Results

 

History – Google Chrome

데이터의 위치는 다음과 같습니다.

\Users\<username>\AppData\Local\Google\Chrome\User Data\

History라는 이름의 SQLite 데이터베이스에 저장됩니다.

3개의 테이블이 존재합니다.

 

urls

각각의 고유한 url 목록이 저장됩니다.

AXIOM이 처리하여 Web Related --> Chrome Web Visits에서 보여 줍니다.

 

visits

URL에 여러 번 접속했는지 여부와는 상관없이 브라우저가 URL을 방문한 시각에 관한 정보를 보여 줍니다.

visit 테이블에서 추출한 기록은 urls와 visit-source 테이블을 교차 참조 가능합니다.

 

visit_source

 

Chrome Web History 카테고리에서 보여주는 정보

 Artifacts 에서 보여 주는 정보

- URL : 방문한 URL

- Last Visted Date/Time : URL에 마지막으로 방문한 일시

- Title : 브라우저의 제목표시줄에 보이는 웹페이지의 제목

- Visit count : 해당 URL에 접근한 횟수

- Typed URL : Typed URL 인 것으로 보이는 횟수

 

Evidence 에서 보여 주는 정보

- Source : 아티팩츠가 발견된 디렉토리 경로

- Location : 출처가 되는 파일이나 개체 내에서의 데이터의 위치

 

Chrome Web Visits 카테고리에서 보여주는 정보

Artifacts 에서 보여 주는 정보

- Transition Type : 브라우저가 어떻게 웹사이트에 검색한 것인지 보여 줍니다.

 

Link

사용자가 다른 웹페이지의 링크를 클릭하였음

 

Auto_Toplevel

Top-level frame에서 자동으로 로드되었음

 

Manual_Subframe

사용자에 의한 명확한 활동의 결과 로써 로드된 모든 nested 하위 프레임이고, 앞으로 가기/뒤로 가기 목록으로 새로운 검색 엔트리가 생겼음

 

Generated

사용자가 주소표시줄에 입력을 시작하면, 그런 다음 URL 처럼 보이지 않는 엔트리를 선택하게 된다.

이것들은 Typed URL과는 별개의 것이다

 

Keyword

사용자가 설정한 키워드 검색으로 인해 생성됨

예) Wikipedia를 검색하면, 검색된 URL은 Keyword에서 보여줌

 

Keyword_Generated

예) 두 번째로 wikipedia.org를 검색하면, Keyword_Generated가 만들어지고 여기서 보여줌

 

Form_submit

사용자가 form에 값을 넣고, 등록하였음을 의미

 

Reload

사용자가 reload 또는 refresh 버튼을 누루가너, 주소표시줄에서 enter를 눌렀을 때를 보여줌

 

Typed

사용자가 주소표시줄에 URL 정보를 입력하거나 자동완성 폼에서 URL를 선택하였을 때를 보여줌

만약 사용자가 URL 처럼 보이지 않는 것을 선택했다면 Typed에서 보여주지 않고, Generated에서 보여줌

 

Auto_bookmark

사용자 인터페이스에서 엔트리를 선택하였는지 보여줌

 

Synced

다른 어디 인가와 동기화 되었음을 보여줌

 

User browsed

사용자가 브라우징한 것

가장 일반적임

효율성 측면에서 더 이상 데이터베이스에 저장하지 않음

 

Extension

확장자가 추가되었음

 

Firefox import

Firefox에서 들여옴

 

IE import

IE에서 들여옴

 

Safari import

사파리에서 들여옴

 

- Visit Source : 데이터베이스 에서의 방문 엔트리의 출처를 보여 줍니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)