Windows Forensics

윈도우 포렌식

Google Chrome

개요

  • 컴퓨터에 설치되어 있는 Browser의 정보를 수집하여 사용자의 인터넷 사용 기록을 분석
  • 대부분의 정보는 인터넷 검색을 통해 획득
  • 범행의 계획, 수단, 방법, 처리등의 기록을 획득 할 가능성 존재
  • 사용자의 최근 관심사 등을 획득
  • 자주 사용하는 E-mail, Cloud, SNS 등 정보획득 가능
  • 웹사이트 방문 횟수, 방문 시간, 마지막 방문시간 등 정보 획득

Cache 정보 분석

  • 웹 사이트 접속 시 재방문을 용의하기 하기 위한 파일로써 자동으로 다운로드

  • 이미지파일, 텍스트파일, 아이콘, HTML 파일, Xml 파일, 스크립트 등 웹페이지를 구성하기 위한 데이터를 다양하게 저장

Web History 정보 분석

  • 사용자에게 웹사이트 사용에 관한 편의를 제공하기 위해 제공되는 기능

  • 포렌식 적으로는 사용자가 방문한 사이트의 기록을 수집 가능

Download File List 정보 분석

  • 웹에서 다운로드 받은 파일의 안정적인 전송과 이력관리를 위하여 목록을 관리

  • 사용자가 웹 브라우저를 통해 직접 다운로드 한 파일의 리스트 수집 가능

Web Browser 사용량 조사

1. Google Chrome 분석

  • 1-1. Google Chrome Internet History 분석

    Path : C:\Users\(UserName)\AppData\Local\Google\Chrome\User Data\Default\History

  • 1-2. Database 구조

    • Table Name 중 urls 를 선택하여 사용자의 방문한 URL 주소, 타이틀 이름, 최종 방문 시간을 수집 가능합니다.

[아티팩트] 또는 [웹 관련] 을 클릭하여 이동

URL 기록 확인

원본 History 파일 경로 / Table 위치

원본 파일 경로 / Table 선택

방문시간 URL Table 위치 확인

Urls 테이블 선택

URL Name, Title Page, 방문 횟수, 최종 방문 시간 정보 획득

C:\User\(UserName)\AppData\Local\Google\Chrome\User Data\Default\History

경로를 찾은 후 Jumplist 링크 파일 확인

상단 메뉴에 [View] – [Artifacts]를 선택하여 수집결과를 확인

[ Internet ] 하이퍼링크를 클릭하여 브라우저 수집기록을 확인 할 수 있음

PC에 설치된 Browser 확인 가능

History 폴더를 클릭하여 방문한 URL 정보를 가지고 있는 history 파일 분석 가능