[AXIOM] 인터넷 아티팩츠 분석기능 (6)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM의 인터넷 아티팩츠 분석기능 중 Cookies 에 대해 알아보겠습니다. 모두 화이팅하세요.

 

Cookies

쿠키는 웹사이트가 로컬 컴퓨터에 저장한 파일입니다.

사용자는 쿠키가 가리키는 웹사이트에 실제로는 방문을 하지 않았을 수도 있습니다.

방문하지 않았지만 링크된 웹사이트가 쿠키를 로컬에 저장하였을 수도 있습니다.

 

쿠키는 다음의 정보를 기록합니다.

- 사용자 정보

- 브라우저 활동 기록

- 계정 정보 등

 

 

Chrome

프로파일 폴더 아래 Cookies 라는 이름의 SQLite 데이터베이스로 저장합니다.

다음 위치에 저장해 둡니다.

\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- Host

쿠키의 호스트 도메인명 입니다.

- Name

쿠키의 이름입니다.

- Value

쿠키 안에 포함된 값 입니다.

- Accessed Date/Time

쿠키에 마지막으로 접근한 일시 입니다.

- Created Date/Time

쿠키가 생성된 일시 입니다.

- Expiration Date/Time

쿠키가 만료되는 일시 입니다.

- Path

쿠키 값의 경로 입니다.

 

FireFox

프로파일 폴더에 cookies.sqlite 라는 SQLite 데이터베이스로 저장합니다.

다음 위치에 저장됩니다.

\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxx.default\

moz_cookie 라는 테이블이 존재합니다.

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- Host

- Name

- Value

- Accessed Date/Time

- Created Date/Time

- Expiration Date/Time

- Path

 

Internet Explorer

윈도우 7 이전 버전의 ‘쿠키’ 저장 위치는 다음과 같습니다.

\Users\<username>\AppData\Roaming\Microsoft\Windows\Cookies\

 

윈도우 8의 ‘쿠키’ 저장 위치는 다음과 같습니다.

\Users\<username>\AppData\Local\Micorosoft\Windows\InetCookies\

 

어떤 인터넷 아티팩츠의 경우에는 높은 등급이 아니라 표준 권한으로 브라우저를 시작하였을 때 생성된 브라우저 활동과 관련된 것으로 보이는 \Low\ 폴더가 있을 수 있습니다.

IE 초기 버전에서는 ‘쿠키’ 파일은 user@hostname.txt 형식(예: dashner@gmail.txt)으로 만들어 졌으나, 마이크로소프트는 시스템의 중단할 경우 많은 유용한 정보가 쿠키 파일에서 확보될 수 있으므로 LG1FD45A.txt와 같이 임의로 생성된 8개의 글자와 숫자로 이루어진 값으로 그 포맷이 바뀝니다.

 

윈도우 10, 11의 경우 ‘쿠키’ 저장 위치는 다음과 같습니다.

아래의 경로에 위치한 WebCacheV01.dat 파일 안에 데이터가 기록됩니다.

\Users\<username>\AppData\Local+Microsoft\Windows\WebCache\

 

쿠키는 다음과 같은 정보를 포함합니다.

- 쿠키 생성 일자

- 마지막으로 쿠키에 접근한 일자

- 만료 일자

- 각 쿠키 컨텐츠 파일의 이름

 

‘쿠키’ 컨텐츠 파일의 저장 위치는 다음과 같습니다.

\Users\<username>\AppData\Local\Microsoft\Windows\INetCookies\

 

이들 쿠키 파일은 임의로 생성된 8개의 글자와 숫자로 구성된 값으로 파일이름이 만들어 집니다.

확장자는 .txt  또는 .cookie 입니다.

Access Count의 경우 정확도가 떨어 질 수 있습니다. 

 

Internet Explorer Cookies 카테고리의 Artifacts에서 보여주는 정보는 다음과 같습니다.

- Host

- Name

- Value

- Created Date/Time

쿠키가 만들어진 일시 입니다.

- Expiration Date/Time

쿠키가 만료되는 일시 입니다.

- Flags

쿠키와 관련된 모든 플래그 값 입니다.

 

Internet Explorer 10-11 Cookies 카테고리의 Artifacts에서 보여주는 정보는 다음과 같습니다.

- User

쿠키와 관련된 윈도우 사용자명 입니다.

- URL

쿠키의 호스트 도메인 입니다.

- Accessed Data/Time

쿠키에 마지막으로 접근한 일시 입니다.

- Updated Date/Time

호스트 도메인이 마지막으로 쿠키를 업데이트한 일시 입니다.

- Created Date/Time

쿠키가 만들어진 일시 입니다.

- Access Count

브라우징 히스토리와 마찬가지로 정확도가 떨어질 수 있습니다.

- Filename

쿠키 컨텐츠 파일의 이름, 경로를 포함합니다.

- File Size

쿠키의 크기 입니다.

 

Edge

다음의 경로에 위치한 WebCacheV01.dat 파일 안에 ‘쿠키’ 메타데이터 정보를 저장합니다.

\Users\<username>\AppData\Local\Microsoft\Windows\WebCache\

 

쿠키 컨텐츠 파일도 xxxxxxxx.txt 또는 xxxxxxxx.cookie 이름으로 아래의 폴더에 저장합니다.

\Users\<username>\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\Cookies\

 

또는 같은 패키지 안의 하위 폴더에 저장되기도 하며 폴더 이름의 숫자는 다음과 같습니다.

\Users\username>\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cookies\

\Users\username>\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\Cookies\

 

Edge 이외에도 ‘쿠키’를 저장하는 어플리케이션이 있습니다.

- Windows Store

- Windows Photos

- Office Hub

- Skype

- Cortana

 

AXIOM에서는 Edge Cookies를 Internet Explorer 10-11 cookie 카테코리에 포함시킵니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)