웹 아티팩트 수집 및 분석 도구 사용해 보기(WEFA, browsinghistoryview)

WEFA

WEFA는 고려대학교 DFRC에서 만든 웹 히스토리 분석 툴이다.

 

다운로드: http://forensic.korea.ac.kr/tools.html

http://forensic.korea.ac.kr/tools.html

 

WEFA를 실행하면 위와 같은 화면을 볼 수 있다. 수집 및 분석을 위해서는 상단의 폴더 아이콘을 눌러 새 케이스를 생성해 주면 된다. 이후 파일을 눌러 로그 정보를 분석하거나 로그 파일 수집이 가능하다.

 

로그 파일 수집을 하기 위해 일반 수집을 선택한 뒤 진행을 하면 위와 같은 화면이 뜨며 수집이 된다. 수집은 현재 시스템도 가능하고 디스크 볼륨들에서도 수집이 가능하다. 특정 파일 경로에 저장되어 있는 웹 로그들을 직접 수집할 수도 있지만 번거롭기 때문에 툴의 수집 기능을 통해 로그 파일을 수집하는 것이다. 이때 사진에 보이는 옵션을 조정해 더 상세한 수집 역시 가능하다.

 

수집이 종료되면 새 케이스를 생성하며 지정해 둔 폴더에 로그 파일들이 저장된다. 로그 정보 분석을 누른 뒤 폴더 경로를 선택하면 위의 사진과 같이 프로그램이 알아서 파일을 파싱해 준다.

 

파싱이 끝나면 캐시, 히스토리, 쿠키, 다운로드 목록, 세션, 검색 정보, 로컬 파일 열람, 임시 인터넷 파일, 타임라인을 볼 수 있다. (실습 결과 제대로 보이지 않는 것도 존재...)

 

설치가 필요하지 않고 한눈에 들어오는 UI 덕에 간단하게 사용할 수 있어 좋지만 익스플로어 11에 대해서는 지원을 하지 않고 라이선스가 필요한 탓에 히스토리를 절반만 볼 수 있다는 단점이 존재한다.

 

browsinghistoryview

NirSoft에서 제공하는 브라우저 히스토리 분석 툴이다.

 

다운로드: http://www.nirsoft.net/utils/browsing_history_view.html

View the browsing history of your Web browser

 

프로그램을 실행하는 동시에  Advanced Options을 선택할 수 있는 창이 뜬다. 여기서 원하는 옵션을 선택한 뒤 OK 버튼을 누르면 된다.

 

수집하는 시간 범위를 선택하는 부분이다.

 

Load history items from any time은 모든 히스토리를 가지고 오겠다는 의미이다.

xx가 붙어 있는 것들은 최근 xx 분, 시간, 일 동안의 히스토리를 가지고 오겠다는 것이다.

 

수집할 브라우저를 선택하는 부분이다. 자신이 수집하고 싶은 브라우저만 선택이 가능하다.

 

수집을 진행할 사용자 계정을 선택하는 부분이다.

 

All users는 모든 사용자, Only currnet user는 현재 사용자, specified profiles folder는 프로필 폴더를 지정, specified profile는 특정 프로필을 직접 선택(사용자의 세부 계정 선택 가능), custom folders는 history, App Data, Local App Data 폴더를 지정하여 수집하는 방법이다.

 

위의 옵션들을 선택하고 OK를 누르면 바로 히스토리 수집이 되어 프로그램에 나타난다.

 

하나를 선택하면 더욱 자세한 정보가 적혀 있다. 

 

이 프로그램을 통해서는 접속 URL, 시간, 방문 횟수, 웹 브라우저 종류, 계정 등이 수집된다.

 

 

 

 

 

참고

https://post.naver.com/viewer/postView.naver?volumeNo=6905680&memberNo=21532239 

https://post.naver.com/viewer/postView.naver?volumeNo=6920001&memberNo=21532239 

https://post.naver.com/viewer/postView.naver?volumeNo=6955001&memberNo=21532239