[AXIOM] 인터넷 아티팩츠 분석기능 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 AXIOM의 인터넷 아티팩츠 분석기능에 대해 알아 봅니다. 모두 화이팅하세요!!

 

Session Recovery

세션 복원 파일은 마지막으로 열린 페이지나 탭으로 브라우저가 되돌아 가게 해주는 기능을 갖고 있습니다.

다음의 상황에서 활용됩니다.

- 시스템 오류가 발생하거나 갑자기 전원이 종료된 경우

- 사용자가 실수로 탭을 닫기하여 다시 열고자 하는 경우

- 브라우저가 닫기를 할 때 여전히 열려 있는 모든 페이지를 다시 열고자 하는 경우

 

Chrome

크롬의 세션 복원 파일은 다음과 같습니다.

 

 

Current Session

가장 최근의 브라우징 세션에서 열렸던 탭의 목록을 보여 줍니다.

 

Current Tabs

브라우징 세션이 끝났을 때 열려 있던 탭의 목록을 보여 줍니다.

 

Last Session, Last Tabs

가장 최근의 브라우징 세션 이전의 브라우징 세션과 관련된 파일을 보여 줍니다.

이들 파일의 내용은 Web Related 카테고리에서 확인할 수 있습니다.

디폴트 프로파일에 저장되면, 위치는 다음과 같습니다.

\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\

 

관련 파일의 컨텐츠는 Web Related 카테고리 아래에 다음과 같이 분류됩니다.

- Chrome Current Session

- Chrome Current Tabs

- Chrome Last Session

- Chrome Last Tabs

 

위 4개의 카테고리의 Artifacts 에서 보여주는 정보는 다음과 같습니다.

- URL

- Last Visited Date/Time

- Title

- Visit Count

- Redirect URL : 어떤 경우엔 리다이렉트를 위한 URL 도 보여 줍니다.

 

FireFox

다음의 위치에 가장 최근의 브라우징 세션에 관한 세션 복원 정보를 저장합니다.

\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\

sessionstore.js 파일에 저장합니다.

 

과거의 브라우징 세션으로 부터의 세션 복원 정보는 다음의 위치에 저장됩니다.

\sessionstore-backups\ 라는 이름의 부모 프로파일의 하위 폴더에 위치합니다.

previous.js 파일에 저장합니다.

 

AXIOM은 비할당영역과 파일 슬랙 공간에 존재하는 모든 FireFox 세션 복원 데이터를 카빙할 수 있습니다.

FireFox 세션 복원 아티팩츠는 다음의 카테고리에서 보여 줍니다.

Web Related --> Firefox SessionStore Artifacts

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- Title

- URL

- Referrer URL : 어떤 경우엔  리다이렉트를 위한 URL 도 보여 줍니다.

 

Internet Explorer and Edge

IE와 Edge의 세션 복원 파일은 복합파일이며 이름은 다음과 같습니다.

{GUID}.dat

 

위 파일은 TL0, TL1… 과 같이 번호가 매겨진 Travel Logs 라고 알려진 여러 개의 엔트리를 포함합니다.

IE의 세션 복원 파일은 다음의 위치에 존재합니다.

\Users\<username>\AppData\Local\Microsoft\Internet Explorer\Recovery\

 

Edge의 세션 복원 파일은 다음의 위치에 존재합니다.

\Users\username>\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Recovery

 

현재 동작중인 세션 데이터는 하위 폴더인 \Active\에 저장됩니다.

마지막 세션 데이터는 하위 폴더인 \Last Active에 저장됩니다.

가끔씩 \Active\와 \Last Active\ 안에 \High\ 또는 \Low\ 폴더도 볼 수 있습니다.

이것은 상승된 보안 등급과 관련 있습니다.

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- Page URL

- Page Title

- Image : 브라우저가 생성한 웹페이지에 대한 스냅샷(snapshot)

- Body : 웹페이지에서 저장된 HTML body

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)