[AXIOM] 인터넷 아티팩츠 분석기능 (4)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM으로 인터넷 다운로드에 대한 분석기능을 알아 보겠습니다. 모두 화이팅하세요!!!

 

Downloads

대부분의 브라우저는 ‘다운로드’에 관한 정보를 남깁니다.

 

 

Chrome

History 데이터베이스 파일에 다운로드 활동 기록을 남습니다. 위치는 다음과 같습니다.

\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\

두 개의 테이블이 존재합니다.

- downloads

- downloads_url_chains

 

AXIOM은 위 테이블 데이터 안의 정보를 가져와서 다음의 카테고리에서 보여줍니다.

Web Related --> Chrome Downloads

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- Download Source

다운로드된 파일의 출처가 되는 URL 입니다.

- File Name

로컬 컴퓨터에 저장되었을 때 주어진 파일의 이름입니다.

- Start Time Date/Time

다운로드가 시작된 일시입니다.

- End Time Date/Time

다운로드가 완료되거나 중단된 일시입니다.

- Saved To

파일을 저장하였을 때 로컬의 경로와 파일의 이름입니다.

- State

다운로드가 성공적으로 완료되었는지 여부를 알려줍니다.

- Opened by User

다운로드가 완료된 후에 브라우저의 하단에 있는 링크를 클릭하여 파일을 열어 봤는지 여부를 알려줍니다.

- Bytes Downloaded

다운로드된 파일의 바이트 숫자입니다.

- File Size (byte)

완전히 다운로드된 파일의 크기입니다.

 

FireFox

파이어폭스는 ‘다운로드’ 활동 기록을 브라우징 히스토리를 저장하는데, 다음의 위치에 저장합니다.

\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\

places.sqlite 데이터베이스 파일에 저장됩니다.

 

2개의 테이블이 존재합니다.

- moz_places

- moz_annos

 

AXIOM은 위 테이블 데이터 안의 정보를 가져와서 다음의 카테고리에서 보여줍니다.

Web Related --> Firefox Downloads

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- File Name

파일이 로컬 컴퓨터에 저장되었을 때 주어진 파일명입니다.

- Download Source

다운로드된 파일의 출처가 되는 URL입니다.

- Start Date/Time

다운로드가 시작된 일시입니다.

- End Date/Time

다운로드가 완료되거나 중단된 일시입니다.

- Saved To

파일이 저장되었던 로컬의 경로와 파일명입니다.

- Temp Path

다운로드 중에 파일이 일시적으로 저장되었던 로컬의 경로와 파일명입니다.

- State

다운로드의 상태를 알려줍니다.

Download Complete

Download in Progress

Download Stopped

Download Paused

- Referrer

만약 웹페이지가 다운로드하는 동안 미러(mirror)를 사용하였다면, 원래의 다운로드된 URL에 대한 경로를 표시합니다.

- Bytes Downloaded

다운로드된 파일의 바이트 수 입니다.

- File Size (byte)

완전히 다운로드된 파일의 크기입니다.

 

Internet Explorer and Edge

IE v10-11와 Edge는 ‘다운로드’ 활동 기록을 다음의 위치에 저장합니다.

\Users\<username>\AppData\Local\Microsoft\Windows\WebCache\

브라우징 히스토리를 저장하는 WebCacheV01.dat 파일에 저장됩니다.

 

IE v10-11과 Edge에서 추출한 다운로드 기록은 다음의 카테고리에서 보여준다.

Web Related --> Internet Explorer 10-11 Downloads

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- URL

다운로드된 파일의 출처가 되는 URL입니다.

- Last Accessed Date/Time

다운로드된 URL에 마지막으로 접속한 일시입니다.

- Redirect URL

사용자를 다운로드된 URL로 이끈 이전의 URL입니다.

- Download Location

파일이 저장된 로컬의 경로와 파일명입니다.

- Temp Download Location

다운로드 도중에 파일이 일시적으로 저장된 로컬의 경로와 파일명입니다..

보통 캐시 폴더 중 하나입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)