Web Browser Forensics

Web Browser Forensics

---

정의

• 디지털 포렌식 기법을 적용하여 용의자의 컴퓨터 및 다양한 ICT 기기에 저장되는 웹 브라우저 사용 흔적을 조사하는 행위
• 웹 브라우저가 남기는 로그파일을 분석
  • ex) Cache, History, Cookie, Download List...etc
  • 이는 모든 브라우저에서 공통적으로 남기는 로그이다.
    다만, 쿠키와 다운로드 리스트는 페이지에 따라서, 사용자 행동에 따라서 남을수도 안남을수도 있다.

필요성

• 아무리 사소한 정보라도 인터넷을 이용해서 획득이 가능하다.
• 사건과 관련된 내용이 웹 브라우저 로그 파일에 남을 가능성은 매우 높다.
• 상황에 따라 범행동기, 목적, 수단, 방법, 사후처리 등의 많은 정보를 획득할 수 있음.
  실제로 Web Browser forensics에서 획득한 증거는 직접증거보다는 정황증거로서 사용될 가능성이 다분하다.
• artifact 내 존재하는 시간, 날짜 등의 정보를 바탕으로 사건을 재구성하면 범죄자가 해당 PC로 어떠한 활동을 진행하였는지 백트래킹이 가능하다.

기본 분석

---

Cache 정보란?

• 웹 사이트 접속 시, 방문사이트로부터 데이터를 자동으로 다운받는 데이터

  • 재접속 시, 다시 다운로드를 받지 않고 기존에 다운받은 데이터를 사용한다.

    • 이는 빠른 웹 페이지 로딩을 목적으로 한다.

• 분류

  • 캐시 데이터 : 다운받은 데이터
    • 이미지 파일, 텍스트 파일, 아이콘, HTML 파일, XML 파일, 스크립트 ...etc
  • 캐시 인덱스 정보 : 캐시 데이터 위치, 다운로드 URL, 다운로드 시간, 데이터 크기 ...etc

Cache 정보 분석 방법론 (1/2)

• Cache 인덱스 정보 분석

  • Cache 인덱스 정보 분류

    • 다운로드 URL/ 다운로드 시간/ Cache 데이터 파일명/ Cache 데이터 크기/ Cache 데이터 위치

• 다운로드 URL, 다운로드 시간

  • 사용자가 특정 시간에 해당 사이트를 방문함을 입증

• 다운로드 URL 내 특정 키워드를 통해 사용자의 특정 행위를 유추

  • ex) 'mail' Keyword -> 웹 메일 사용
  • ex) '.doc, .ppt, .pdf'와 같은 문서 확장자 -> 웹 사이트 문서 열람

Cache 정보 분석 방법론 (2/2)

• Cache 데이터 분석
  • HTML 파일이 Cache 데이터로 저장된 경우
    • Daume 웹 메일에서 메일 본문을 확인할 경우, 본문 내용은 Temporary Internet 파일 형태로 저장된다.
    • ViewMail[n].htm 파일을 열어서, 메일 본문 내용 또한 확인이 가능하다.
    • 한글 파일의 경우, 웹 브라우저 상에서 바로 열기를 수행할 경우, .hwp파일 형태 그대로 저장된다.

History 정보란?

• 사용자가 방문한 웹사이트의 접속 정보

• 사용자의 편의를 위해 저장된다.

  • 이전 방문한 사이트를 다시 방문하고 싶을 때 이용

  • 월별, 일별 방문 기록을 분류하여 제공

• 저장형식 분류

  • 직접 접근 : URL 입력창에 직접 주소 입력
  • 간접 접근 : 링크를 통하여 접근

History 정보 분석 방법론

• History 정보 분류

  • 방문 사이트 URL/ 방문 시간/ 방문 횟수/ 웹 페이지 제목(Title)

• 방문사이트 URL과 방문 시간 -> 해당 사이트의 방문시간 정보

• 방문 URL 내 GET 방식으로 포함된 인자값 분석

  • 검색어 정보 추출
  • 아이디, 패스워드 추출

• URL 내 특정 키워드를 통한 사용자 행위 분류

Cookie 정보란?

• 웹 사이트에서 사용자의 하드디스크에 저장시켜놓는 사용자에 관한 데이터
• 웹 사이트에서 사용자 별, 개인화된 서비스 제공을 위해 사용
  • 자동 로그인 기능
  • 웹 쇼핑몰 사이트 : 열람한 물건 리스트, 저장할 물건 리스트 등
  • 웹 하드 사이트 : 찜 해놓은 자료, 다운받은 자료 등

Cookie 정보 분석 방법론

• Cookie 정보 분류
  • 호스트/ 경로/ 쿠키 수정 시간/ 쿠키 만료 시간/ 이름/ 값
  • 호스트 -> 접속한 사이트
  • 경로 -> 사용한 서비스 유추
  • 쿠키 수정 시간 -> 해당 사이트 마지막 접속 시간
  • 이름, 값 -> 로그인 아이디 저장 옵션 활성화 시, 로그인 아이디 정보 획득 가능

Download List 정보란?

• 사용자가 의도적으로 선택하여 자신의 컴퓨터로 내려 받은 파일에 대한 정보
• 사용자의 의도와 관계없이 다운받아지는 캐시 데이터와는 구분이 필요하다.
• 사용자의 편의룰 위해 저장된다.
  • 다운 받은 자료들을 열람하거나 다시 다운로드 받고 싶은 경우

Download List 정보 분석 방법론

• Download List 정보 분류
  • 파일의 저장 경로/ src URL/ 파일 크기/ 다운로드 시간/ 다운로드 성공여부
• 다운로드 src URL -> 접속한 사이트 확인
• 다운로드 시간 -> 해당 파일의 다운로드 시간
• 다운로드 파일의 로컬 경로 -> 파일 내용 확인
  • 파일이 없을 시 -> 다운로드 URL을 통해 다운로드 가능