안녕하세요. 도깬리 포렌식스 입니다.
오늘은 AXIOM의 인터넷 아티팩츠 분석기능 중 Typed Urls와 Form Fill Information and Search Data에 대한 분석기능을 알아보겠습니다. 모두 화이팅하세요!!!
Typed Urls
Chrome and Firefox
Typed URL을 처리할 때에는 약간의 주의가 필요합니다.
과거 이것은 브라우저의 주소표시줄에 직접 입력(타이핑, 복사/붙여넣기)한 경우에 기록되는 아티팩츠였습니다.
지금은 약간 복잡해졌습니다.
만약 사용자가 URL이든 검색단어이든 주소표시줄에 직접 입력했다면, 브라우저는 대개 사용자에게 autosuggestion(자동 완성?)을 제공할 것입니다.
사용자가 이런 autosuggestion 중에 하나를 선택한다면 이런 것도 Typed URL로 기록될 것 입니다.
따라서 이제는 Typed Urls가 반드시 사용자가 주소표시줄에 URL을 직접 입력했음을 의미하지는 않습니다.
단지 사용자가 주소표시줄에 뭔가를 입력했다고 말하는 것이 좀 더 정확한 표현입니다.
Chrome은 다음의 경로에 위치하는 History 데이터베이스에 URL을 저장합니다.
\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\
Firefox는 다음의 경로에 위치하는 places.sqlite 데이터베이스에 URL을 저장한다.
\Users\<username>\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\
AXIOM은 위 정보를 각각의 Web History 와 Web Visits 카테고리에서 보여줍니다.
Internet Explorer and Edge
사용자 레지스트리에서 Typed URL 의 기록을 남깁니다.
Internet Explorer
주된 사용자 레지스트리의 NTUSER.dat 파일 안에 기록을 남깁니다.
\Users\<username>\
아래 2개의 레지스트리 키에 저장됩니다.
SOFTWARE\Micorosoft\Internet Explorer\TypedURLs\
SOFTWARE\Micorosoft\Internet Explorer\TypedURLsTime\
Edge
Edge는 보충적 사용자 레지스트리인 UsrClass.dat에 Typed URL을 기록합니다.
\Users\<username>\AppData\Local\Micosoft\Windows\
다음과 같이 3개의 레지스트리 키 안에 저장된다.
LocalSettings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\TypedURLs
LocalSettings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\TypedURLsTime
LocalSettings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\TypedURLsVisitCount
Form Fill Information and Search Data
대부분의 브라우저는 여러 웹사이트에서 일반적으로 입력되는 기본 정보(예; 이름, 전화번호, 주소 등)에 대한 자동 입력 수단(자동 완성 기능)을 제공합니다.
또한, 검색은 브라우저의 검색 상자나 웹사이트의 검색 기능을 이용하여 이루어지는데, 이런 것도 form information으로 저장될 수 있습니다.
Chrome
크롬은 form data를 ‘Autofill values’라고 부르며, 아래 프로파일 폴더의 Web Data라는 이름의 SQLite 데이터베이스에 저장합니다.
\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\
테이블 안에 autofill 이라는 정보를 포함한다.
Artifacts에서 보여주는 정보는 다음과 같습니다.
- Name
자동 완성 항목의 이름 (예; 이메일, 주소 등)입니다.
- Date Created Date/Time
자동완성을 만든 일시 입니다.
- Value
데이터베이스에 저장되는 자동완성 값 입니다.
- Count
자동완성 값에 접근한 횟수 입니다.
크롬에서 수행된 검색도 Web Data SQLite 데이터베이스에 그 기록(검색 단어)을 남깁니다.
FireFox
파이어폭스는 form data를 아래 프로파일 폴더 안의 formhistory.sqlite 라는 이름의 데이터베이스에 저장합니다.
\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\
테이블 안에 moz_formhistory라는 정보를 포함합니다.
Artifacts에서 보여주는 정보는 다음과 같습니다.
- Field Name
폼(자동완성) 항목의 이름 입니다.
- Value
데이터베이스에 저장된 폼의 값 입니다.
- First Used Date/Time
폼 항목을 처음으로 이용한 일시 입니다.
- Last Used Date/Time
폼 항목을 마지막으로 이용한 일시 입니다.
- Times Used
폼 항목이 사용된 횟수 입니다.
- ID
폼 항목의 고유의 값 입니다.
숫자로 되어 있고, 데이터베이스에 쓰여진 순서대로 기록되어 있습니다.
파이어폭스는 내장형 브라우저를 통해 수행한 검색 단어는 formhistory.sqlite 데이터베이스에 저장합니다.
Internet Explorer and Edge
사용자 레지스트리 하이브인 NTUSER.dat에 form data를 저장합니다.
\SOFTWARE\Microsoft\Internet Explorer\Intelliforms\FormData
그러나 정보는 윈도우 사용자 패스워드를 포함하고 있는 Windows Data Protection API에 의하여 암호화되어 있습니다. AXIOM도 파싱을 지원하지 않습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : Magnet AXIOM Examinations (AX200)
'AXIOM' 카테고리의 다른 글
| [AXIOM] 윈도우 레지스트리, 파일시스템 정보 등 (0) | 2023.03.15 |
|---|---|
| [AXIOM] 윈도우 운영체제 아티팩츠 분석 개요 (0) | 2023.03.13 |
| [AXIOM] 인터넷 아티팩츠 분석기능 (8) (0) | 2023.03.08 |
| [AXIOM] 인터넷 아티팩츠 분석기능 (7) (0) | 2023.03.06 |
| [AXIOM] 인터넷 아티팩츠 분석기능 (6) (0) | 2023.03.04 |