[AXIOM] 인터넷 아티팩츠 분석기능 (8)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM의 분석기능 중 Internet Cache 아티팩츠에 대한 분석기능에 대해 알아 봅니다. 모두 화이팅 하세요!!!

 

Internet Browser Cache

브라우저 캐시는 로컬 컴퓨터에 있는 임시 저장 위치를 말합니다.

브라우저는 사용자가 방문하였던 웹사이트의 구성 요소를 캐시에 저장합니다.

다음과 같은 형태의 파일이 캐시로 저장됩니다.

- HTML

- JavaScripts

- CSS (cascading style sheets)

- 사진

- 멀티미디어 컨텐츠 등

 

웹사이트를 방문할 때 마다 브라우저는 이전에 해당 사이트를 접근하였던 적이 있는지 Cache에서 살펴 보고, 만약 과거에 접근한 적이 있다면, 마지막으로 방문한 이후 어떤 컨텐츠가 업데이트 되었는지를 Host에 확인합니다.

그리고 브라우저는 마지막으로 방문한 이후에 업데이트 되었거나 기존 캐시에 저장되어 있지 않은 파일들만 다운로드하게 됩니다.

캐시의 목적은 네트워크의 대역폭 사용량을 줄여서 웹페이지를 로드할 때의 속도를 줄여주기 위함입니다.

 

 

Cache –Chrome 

Chrome은 사용자 프로파일 아래 3개의 각기 다른 폴더에 캐시를 저장합니다.

 

 

\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Cache\

아래의 2개 종류를 제외하고 일반적인 캐시 파일인 html, javascripts, CSS, 저용량 사진 등은 여기에 기록됩니다.

\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\GPUCache\

비디오 카드의 GPU를 이용할 데이터는 여기에 캐시됩니다.

\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Media Cache\

비디오, 오디오와 같은 대용량 미디어 파일은 여기에 캐시됩니다.

 

각 캐시 폴더에는 index 파일과 다음과 같이 4개의 block 파일이 존재합니다.

- data_0

- data_1

- data_2

- data_3

 

웹페이지의 구성요소가 캐시에 저장되면, 해당 파일의 메타데이터 정보도 다음과 같이 저장됩니다.

- Host site URL

- HTTP response

- 해당 파일이 캐시에서 만료되는 시각

- 해당 파일이 캐시에서 삭제되는 시각 등

 

파일 컨텐츠와 컨텐츠에 관한 메타데이터는 2개로 구분되어 저장되며, 다만 둘 다 동일한 캐시폴더 안에 저장됩니다.

따라서 동영상 파일이 캐시에 저장될 경우, 파일의 컨텐츠와 파일의 메타데이터는 둘다 \Media Cache\ 경로에 저장될 것입니다.

파일 컨텐츠이든 파일의 메타데이터이든, 저장된 데이터의 크기가 16,384 바이트 이하인 경우에는, 그것은 block 파일 중 하나로 저장될 것입니다.

 

데이터의 크기에 따라 서로 다른 블록 파일에 데이터가 저장됩니다.

- data_0

파일의 컨텐츠 또는 메타데이터의 크기가 0~144 바이트인 경우임

- data_1

파일의 컨텐츠 또는 메타데이터의 크기가 144~1024 바이트인 경우임

- data_2

파일의 컨텐츠 또는 메타데이터의 크기가 1024~4096 바이트인 경우임

- data_3

파일의 컨텐츠 또는 메타데이터의 크기가 4096~16384 바이트인 경우임

 

만약에 저장된 데이터가 16,384 바이트보다 더 크다면 그것은 f_0000xx 라는 이름의 개별 파일로 저장될 것이고, 이때 xx는 헥사값으로 캐시 폴더에 새로운 파일이 생성될 때마다 +1 증가합니다.

결과적으로, PNG 또는 GIF 파일과 같이 저용량 파일은 대개 Block 파일 중 하나에 저장될 것이며, 비디오와 같은 대용량 미디어 파일은 개별적인 ‘f’ 파일로 저장될 것이며, 대부분의 메타데이터는 data_1 블록 파일에서 확인될 것입니다.

동일한 캐시 폴더 내의 index 파일은 캐시된 파일의 컨텐츠와 그것의 메타데이터간의 상호참조(cross-reference)를 저장합니다.

 

파일의 컨텐츠와 메타데이터가 각각 독립적으로 추적되기 때문에, AXIOM Examine은 2개의 Evidence Information 섹션을 제공합니다.

- 첫 번째 Evidence Information

메타 데이터 컴포넌트의 Source와 Location 정보를 보여 줍니다.

- 두 번째 Evidence Information

캐시된 파일의 데이터 컨텐츠의 Source와 Location 정보를 보여 줍니다.

 

 Artifacts에서 보여주는 정보는 다음과 같습니다.

- URL

캐시된 아이템의 URL 입니다.

- First Visited Data/Time

해당 URL에 처음으로 접근한 일시 입니다.

- Last Visited Data/Time

해당 URL에 마지막으로 접근한 일시 입니다.

- Last Synced Data/Time

웹사이트와 캐시된 아이템이 마지막으로 동기화된 일시 입니다.

- File Type

캐시된 파일의 유형 입니다.

- Content Size (bytes)

캐시된 아이팀의 바이트 크기 입니다.

 

Cache – FireFox

대부분의 파이어 폭스 아티펙츠는 사용자의 Roaming 프로파일에 위치한 파일에서 추출되나, Local 프로파일에도 존재할 수 있습니다.

 

다음의 위치에 캐시가 존재합니다.

\Users\<username>\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\cache2\

 

index 라는 이름의 파일이 존재하고, 다음과 같이 2개의 하위 폴더가 존재합니다.

- \entries\

캐시된 파일 그 자체가 존재합니다.

- \doomed\

만료된 캐시 컨텐츠가 존재하고, Firefox가 브라우저를 닫거나 재시작하였을 때 그것을 삭제처리하는 것이 일반적입니다.

 

index에는 다음과 같은 정보가 기록되어 있습니다.

- 각 캐시된 파일이 캐시에 기록된 일시

- 만료 일시

 

크롬의 경우 파일 컨텐츠와 메타데이터를 각각 구분하여 저장하는 데 비해, Firefox는 메타데이터 정보를 캐시된 파일의 끝에 추가합니다.

파일의 마지막 4 바이트는 빅엔디언 정수 값으로 캐시된 컨텐츠의 크기를 나타내고, 메타데이터 컨텐츠는 논리적 파일 안에서 시작합니다.

 

Artifacts Explorer에서 Content Size (Bytes)는 오직 캐시된 컨텐츠만의 크기를 나타냅니다.

메타데이터가 아니라 컨텐츠만의 크기임에 주의해야 합니다.

즉, 디스크/디바이스에 저장된 Firefox 캐시 폴더에 저장된 파일의 사이즈가 아님에 유의해야 합니다.

캐시 안의 논리적 파일은 File system explorer에서 보이게 되며, 여기에는 메타데이터 정보를 포함하므로 항상 사이즈가 더 클 것입니다.

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- URL

캐시된 아이템의 URL 입니다.

- Date Created Date/Time

파일이 캐시에 기록된 일시 입니다.

- MIME Type

캐시된 아이템의 MIME 유형 입니다.

- Content Size (bytes)

캐시된 아이템의 바이트 크기 입니다.

메터데이터가 아니라 오직 컨텐츠만 해당함에 유의해야 합니다.

 

Cache – Edge

Edge는 아래의 경로에 위치하는 WebCacheV01.dat 파일 안에 캐시된 파일에 대한 메타데이터 정보와 상호 참조 정보를 기록합니다.

 

\Users\<username>\AppData\Local\Microsoft\Windows\WebCache

캐시된 파일 그 자체는 xxxxxxxx 라고 임의로 명명된 하위 폴더에 위치합니다.

\Users\username>\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\Cache\xxxxxxxx\

뿐만 아니라, 동일한 Package 안의 하위 폴더에도 존재하나, 폴더 이름에 숫자가 붙어 있습니다.

\Users\username>\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\xxxxxxxx\

 

Artifacts에서 보여주는 정보는 다음과 같습니다.

- URL

캐시된 아이템의 URL 입니다.

- Creation Date/Time

캐시된 데이터가 로컬 머신에 저장된 일시 입니다.

- Last Modified Date/Time

캐시된 항목이 출처가 되는 쪽에서 마지막으로 수정된 일시(The date and time the cached item was last modified on the source side) 입니다.

- File Type

캐시된 아이템의 파일 유형 입니다.

- Visit Count

캐시된 파일에 접근한 횟수 입니다.

- Content Size (bytes)

캐시된 파일의 바이트 크기 입니다.

- Original Path

캐시된 파일에 대한 원래의 절대 경로 입니다.

- Relative Path

WebCacheV01.dat 데이터베이스 파일의 위치를 기준으로 하여 파일에 대한 상대 경로 입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)