[AXIOM] 인터넷 아티팩츠 분석기능 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM으로 인터넷 아티팩츠 분석하기 2번째 시간입니다. 모두 화이팅하세요!!!

 

History – Mozilla Firefox

데이터 위치는 다음과 같습니다.

\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles\

places.sqlite 라는 이름으로 SQLite 데이터베이스로 저장됩니다.

다음과 같이  2개의 테이블이 존재합니다.

 

moz_places

고유한 URL 목록이 기록됩니다.

moz_historyvisits

방문 일시 정보가 기록됩니다.

 

위 2개의 테이블은 place_id 를 통해 연결됩니다.

 

Firefox Web History 카테고리

Artifacts에서 보여주는 정보는 다음과 같습니다.

- URL

- Last Visit Date/Time

- Title

- Visit Count

- Is typed

 

Evidence에서 보여주는 정보는 다음과 같습니다.

- Source

- Location

 

Firefox Web Visits 카테고리

Artifacts에서 보여주는 정보는 다음과 같습니다.

 

Transition Type

Transition_LINK

링크를 클릭한 것입니다.

Transition_Type

주소표시줄에서 URL을 직접 입력한 것입니다.

Transition_Bookmark

웹사이트를 위한 북마크에서 클릭한 것입니다.

Transition_EMBED

웹페이지 안의 컨텐츠를 로드합니다.

여기에서 imbedded 이미지 파일을 포함합니다.

Transition_Redirect_Permanent

영구적인 리다이렉션과 관련 있습니다.

Transition_Redirect_Temporary

일시적인 리다이렉션과 관련 있습니다.

 

History – Microsoft Internet Explorer & Edge

Internet Explorer v9 이전 버전의 브라우징 히스토리의 저장 위치는 다음과 같습니다.

\Users\<username>\AppData\Local\Microsoft\History\History.IE5\

Index.dat 파일에 저장됩니다.

여러 개의 히스토리에 대해 여러 개의 Index.dat이 존재합니다.

 

Internet Explorer v10, 11, Edge의 브라우징 히스토리의 저장 위치는 다음과 같습니다.

\Users\<username>\AppData\Local\Microsoft\Windows\WebCache\

WebCacheV01.dat 파일에 저장됩니다.

이것은 Extensible Storage Engine (ESE) 데이터베이스 형식을 갖습니다.

이것은  흔히 Jet Blue 데이터베이스로 알려져 있습니다.

하나의 WebCacheV01.dat 파일이 존재하고, 그 안에 여러 개의 테이블로 나누어 히스토리를 저장합니다.

Internet Explorer는 매일 자정이 지난 후 브라우저가 처음 이용되었을 때 새로운 일일 히스토리를 만들어냅니다.

오늘 자정부터 그 다음 날 자정까지 24시간 동안의 브라우징 히스토리를 보여줍니다.

 

 

일일 히스토리는 다음의 이름으로 각각의 폴더(IE 9이전)나 테이블(IE 10,11,Edge)에 저장됩니다.

MSHist01yyyymmddyyyymmdd

- 첫번째 날짜 : 시작일

- 두번째 날짜 : 종료일

월요일 자정 이후에 IE가 처음으로 이용되었 때, 일일 히스토리는 주간 히스토리로 이동되고 일일 히스토리는 삭제되거나(index.dat의 경우) 더 이상 사용되지 않는 것으로 표시됩니다(WebCacheV01.dat의 경우).

 

주간 히스토리는 다음의 기간 동안의 브라우징 데이터를 저장합니다.

월요일 00:00:00 ~ 일요일 23:59:59

 

IE v10, 11의 경우 WebCacheV01.dat 파일에 히스토리 데이터를 저장함에도 불구하고, 예전의 index.dat 파일이 있던 일일, 주간 히스토리 폴더에 container.dat 라는 이름의 0 바이트 파일을 만들기도 합니다.

누적되는 히스토리(cumulative history)는 일일 히스토리가 History 폴더 또는 테이블에 저장되는 바로 그 때에 생성됩니다.

이때  당연히 중복되는 엔트리가 생기게 됩니다.

 

<주의>

IE의 일일, 주간 히스토리의 시간 정보는 로컬 타임으로 기록됩니다.

다만, 메인 히스토리의 시간 정보는 UTC로 기록됩니다.

 

AXIOM에서 IE 히스토리의 분류 형태

IE v10, 11

- WEB Related

- Internet Explorer v10-11 Main History

- Internet Explorer v10-11 Daily/Weekly History

 

IE v9 이전

- WEB Related

- Internet Explorer Main History

- Internet Explorer Weekly History

 

Internet Explorer Edge의 경우

IE v10,11과 마찬가지로 다음의 위치에 저장됩니다.

\User\<username>\AppData\Local\Microsoft\Windows\WebCache\

동일하게 WebCacheV01.dat 파일에 저장됩니다.

Main, Daily, Weekly, Edge 히스토리가 위 데이터베이스 파일 안에 별도의 테이블 형태로 존재합니다.

 

AXIOM에서는 모든 Edge 브라우징 히스토리가 다음과 같이 분류됩니다.

Web Related --> Internet Explorer v10-11 Main History

Edge과 IE v10, 11의 데이터베이스 구조가 동일하기 때문에, AXIOM Examine은 그것을 자동으로 구분할 수 없습니다.

따라서 조사자는 필요한 경우 직접 엔트리를 보고 확인해 주어야 합니다.

 

Internet Explorer 10-11 Main History 카테고리

Artifacts에서 보여주는 정보

- URL

브라우저가 접근한 URL입니다.

- User

로컬 윈도우 사용자 이름입니다.

- Accessed Date/Time

URL에 가장 최근에 방문한 일시입니다.

- Page title

브라우저 제목표시줄에 나타나는 웹페이지 제목입니다.

- Access Count

접속 횟수는 부정확합니다.

반드시 URL에 접근한 숫자만을 의미하지 않습니다.

 

Evidence 에서 보여주는 정보

- Source

해당 아티팩츠가 발견된 디렉토리 경로입니다.

- Location

소스 파일이나 개체 안에서의 데이터의 위치입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)