[디지털포렌식전문가 2급 필기] 3-1-1. 웹 브라우저

쿠키

- 쿠키의 분석을 통하여 특정 사이트에 접속한 사용자의 아이디 또는 패스워드에 관한 정보 얻을 수 있음

- 개인 ID와 비밀번호, 방문한 사이트 등의 정보가 담겨 있음

- 사용자의 다음 방문시 웹 서버는 그가 누구인지 등에 대하여 바로 파악 가능

리퍼러 로그 파일 (Referrer Log File)

- 사용자가 사이트를 방문하기 위하여 어떠한 검색엔진으로부터 어떤 키워드를 사용하였는지를 알 수 있으며, 사용자가 경유한 URL 경로를 알 수 있음

Windows 7 사용자가 IP 주소를 얻어오는 순서

- 캐쉬 > Hosts 파일 > 로컬 DNS 서버

FireFox3

places.sqlite 파일은 웹 히스토리를 저장

cookies.sqlite 파일은 쿠키를 저장

places.sqlite의 moz_historyvisits 테이블

- FireFox3의 웹 히스토리 중 방문 시간을 제공

Windows 버전별 쿠키 저장 위치

- 95/98/Me : \Windows\Cookies

- NT : \Winnt\Profiles\<username>\Cookies

- 2K/XP : Documents and Settings\<username>\Cookies

Internet Explorer의 Temporary Internet File에서 확인할 수 있는 항목

- 저장된 임시 파일의 URL

- 임시파일의 이름

- 임시파일의 저장 위치

- 접속 시간

Internet Explorer의 History 파일

- 방문한 URL과 다운로드받은 파일, 마지막 방문 시간을 저장

- History 정보가 저장되는 파일은 index.dat

- 쿠키는 저장되지 않음

캐시

- 임시 인터넷 파일이라고도 함

- 웹 페이지의 로딩 시간을 줄이기 위하여 이미지 파일과 같은 용량이 큰 파일을 하드디스크에 저장시켜 놓은 것

- 웹 사이트 방문 시 빠른 재접속을 위하여 이미지 파일 등이 자동으로 저장되는 것

- 사용자의 특정 행위를 유추할 수 있는 브라우저 정보

히스토리

- 사용자가 방문한 웹 사이트의 내역을 저장

- 사용자의 웹 서핑 기록을 알아낼 수 있음

Internet Explorer의 History 기능의 WebcacheV01.dat 파일

- ESE 데이터베이스 형식 지원

인터넷 익스플로러의 쿠키

- 사용자가 웹 사이트를 처음 방문할 때 웹 사이트에서 사용자 컴퓨터의 하드 디스크에 저장해 놓는 작은 파일

- 사용자가 해당 사이트를 다시 방문할 때 그 사이트에 알려주는 역할

- 인터넷 익스플로러 도구에서 쿠키의 삭제 또는 사용 허용, 차단 등을 설정 가능

Windows 7에서 Internet Explorer 9의 사용 흔적을 발견할 수 있는 폴더

- C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files

- C:\Users\Administrator\AppData\Local\Microsoft\Windows\History

- C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies

Chrome의 시크릿 모드

- 방문하는 사이트는 크롬에 저장되지 않음

- 여러 탭을 열 수 있으며 자유롭게 탭을 오가며 여러 페이지를 확인 가능하지만 탭을 닫으면 방문한 사이트 정보는 남지 않음

- 다운로드하는 파일의 기록을 저장하지 않지만 다른 사용자가 이 폴더에서 파일을 열 수 있음

Internet Explorer에서 보안 설정을 지정할 수 없는 영역

- 보안 등급 지정 가능한 사이트

Windows 버전별 Internet Explorer 임시 파일이 저장되어 있는 폴더의 위치

- NT : \Winnt\Profiles\<username>\Local Setting\Temporary Internet Files\Content.IE5

- 2K/XP : \Documents and Settings\<username>\Local Setting\Temporary Internet Files\Content.IE6

- Vista/7 : \Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

index.dat 파일

- 인터넷 사용 기록에서 증거를 수집할 때 방문 사이트의 정보를 획득하고 작업 내용을 파악 가능

- Outlook이나 Outlook Express를 통하여 주고 받은 이메일에 대한 정보도 기록됨

- 한 번 방문한 페이지를 재방문할 경우 로딩 속도를 빠르게 하기 위한 캐시 역할을 함

- 폴더 옵션에서 "보호된 운영체제 파일 숨기기" 모드를 체크 헤제해야 확인할 수 있음

Web Browser 로그

- 시스템 계정이 여러 개일 경우 계정별로 관리

- Internet Explorer는 로그를 Windows Profile(계정) 경로 아래에 저장

- 다운로드된 캐시 데이터는 임시 인터넷 파일 형태로 저장

Internet Explorer

- 임시 파일, 쿠키 파일, 히스토리 파일이 저장

- 히스토리 파일은 index.dat 파일에 저장

- 임시 파일에는 저장하지 않고 열린 파일만을 저장

Chrome

- 구글에서 개발

- 웹킷 렌더링 엔진과 블링크 엔진을 사용