웹 아티팩트 개념 및 수집 경로 탐색

웹 아티팩트란?

디지털 포렌식에서 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 말한다.

 

아티팩트의 종류

• Cache
• Cookie
• Download File List
• Web History

 

Cache

사이트 접속 시 방문 사이트로부터 자동으로 전달받는 데이터 (이미지, 텍스트, html, xml, 스크립트 파일 등)

기존에 방문하였던 웹 사이트를 재방문할 때 변경되지 않은 정보는 다운받지 않고 캐시에서 로딩하는 방식 사용

접속 URL, 캐시 파일 정보(저장 시간, 파일 명, 타입, 크기, 경로) 등의 정보를 제공

 

Cookie

HTTP 통신에서 접속 상태를 유지할 수 있도록 사용자의 정보를 잠시 저장해 두는 임시 저장소

보안의 이유로 쿠키에 자세한 정보를 저장하는 것은 지양하지만 사용 방법이 간단하기 때문에 아직도 쿠키는 자주 사용

정보를 사용자 시스템에 저장하기 때문에 방문한 페이지에 대한 정보를 제공

쿠키에서 확인되는 URL은 사용자가 직접 방문한 사이트일 가능성이 높다는 추정이 가능

호스트 경로, 쿠키 수정 시간, 쿠키 만료 시간, 이름, 값 등의 정보를 제공

 

Download File List

사용자가 웹 브라우저를 통해 직접 다운로드 한 파일의 정보

의도치 않게 다운로드 된 파일(ex: 캐시)과 구분

파일 저장 경로, 다운로드 URL, 파일 크기, 시간, 정상 다운로드 여부 등의 정보를 제공

 

Web History

사용자가 '직접 방문'한 웹 사이트의 접속 기록

URL, 접속 시간, 접속 횟수, 페이지 제목 등의 정보를 제공

 

인터넷 익스플로러 버전 10 로그 파일 경로

• 버전 10부터 WebCacheV*.dat에 모든 기록을 저장
• 기존의 index.dat 파일의 구성과 달리 ESE (Extensible Storage Engine) Database를 기반으로 구성
• history, cache, cookie 등 여러 항목에 대한 정보들을 하나의 파일로 통합 관리하는 방식
• C:\Users\(사용자 이름)\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat
  

 

크롬 로그 파일 경로

Cache

• C:\Users\(UserName)\AppData\Local\Google\Chrome\User Data\Default\Cache
• Cache 정보는 ‘data_0’에 인덱스 정보, ‘data_1’, ‘data_2’, ‘data_3’에 저장

Cookie

• C:\Users\(UserName)\AppData\Local\Google\Chrome\User Data\Default
• Cookies 파일 존재

Download File List, Web History

• C:\Users\(UserName)\AppData\Local\Google\Chrome\User Data\Default
• History 파일에 다운로드 리스트와 히스토리가 함께 존재

 

파이어 폭스 로그 파일 경로

 

 

 

 

 

참고

http://portable-forensics.blogspot.com/2014/11/web-artifact.html

https://certangsecurity.tistory.com/m/114?category=809076

https://su0-0su.tistory.com/31

http://www.forensic-artifacts.com/windows-forensics/chrome

https://dyoerr9030.tistory.com/2