웹 브라우저 쿠키, 웹 브라우저 히스토리, 웹 브라우저 다운로드 목록, 웹 캐시 등을 통해 웹 사용 내역을 조사할 수 있다.
cookies 쿠키는 웹 서버가 생성하여 웹 브라우저로 전송하는 작은 파일 정보이다. 호스트 이름과 경로, 쿠키 수정시간, 쿠키 만료 시간, 값, 마지막 접근 시간 등을 알 수 있다. tool: ChromeCookiesView 경로: %USERPROFILE%\AppData\Local\google\chrome\user data\default\Cookies
download file list 웹에서 다운로드 받은 파일의 안정적인 전송과 이력을 관리하기 위해 다운로드되는 파일의 목록을 관리하고 있다. 파일 저장 경로, 다운로드 url, 파일 크기, 다운로드 시간 등을 알 수 있다. 경로: %USERPROFILE%\AppData\Local\google\chrome\user data\default\history
caches 캐시된 data란 웹사이트를 방문할 때 자동으로 저장되는 data를 의미한다. 접속 URL, 캐시 파일 정보(저장 시간, 파일명, 타입, 크기, 경로) 등을 알 수 있다. cached data의 종류: HTML, XML, JavaScript, Icon, Font, Text, JSON, Image, Audio, Video 등 tool: ChromeCacheView
login credentials 로그인 시 사용되는 아이디, 비밀번호와 같은 정보이다. 경로: %USERPROFILE%\AppData\Local\google\chrome\user data\{profile}/Login Data %UserProfile%\AppData\Roaming\Microsoft\Protect\{SID}\{GUID}\
history url, 페이지 title, 접속 시간, 접속 횟수 등을 알 수 있다. 특히 url을 통해서 user ID, 검색 키워드, timestamp의 정보를 얻을 수 있다.
tool: BrowsingHistoryView
BrowsingHistoryView
여러 웹 브라우저의 방문 데이터를 읽고 모든 방문기록을 하나의 테이블에 표시하는 프로그램이다.
방문기록을 가져올 기준과 웹브라우저 종류를 설정할 수 있다.url, 페이지 title, 방문 시각과 횟수 등 자세한 정보를 확인할 수 있다.
Hindsight
hindsight_gui.exe를 실행시키면 아래와 같은 창이 뜬다.
http://localhost:8080/으로 접속해보자.
위의 Profile Path 부분에 autopsy등에서 extract한 파일 경로를 넣는다.
이 때 timezone은 우리나라에 맞춰 설정해준다.
run을 누르면 아래와 같이 뜨는데, save xlsx를 누르면 엑셀 파일을 다운받을 수 있다.
다음은 다운 받은 엑셀 파일이다.
timestamp, url, titile, visit count 등의 다양한 정보를 얻을 수 있다.
