<Web Browser Forensics - IE10 Forensics>
* WebCacheV01.dat 저장위치
- %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
* Cookie expire time의 기본설정은 20일
- 이는 실제 날짜 기준이 아니라, 인터넷 접속이 이루어진 일수 기준임
- 예를 들어, 3월 24일 WebCache를 분석하는 경우에도 3월 1일까지의 쿠키가 확인될 수 있음 (3월 1일부터 3월 24일까지 기간 중 4일(ex. 3월 3일, 3월 5일, 3월 7일, 3월 9일) 동안에는 인터넷 접속을 하지않은 경우)
- 실제 분석 예) 2019. 3. 2. 획득한 WebCache 파일 내에서 2019. 2. 7.경의 정보까지 확인됨. 20일을 초과하여 저장된 이유를 확인한 바, 총 4일(2019. 2. 10., 2. 17., 2. 23., 2. 24.) 동안 PC가 켜지지 않았음. 아래는 PC의 On, Off 기록
| 1 | 2019-02-07 08:52:09 | On | |
| 2019-02-07 16:20:42 | Off | ||
| 2 | 2019-02-08 09:12:50 | On | |
| 2019-02-08 16:48:35 | Off | ||
| 3 | 2019-02-09 09:08:53 | On | |
| 2019-02-09 16:53:03 | Off | ||
| 4 | 2019-02-11 09:12:34 | On | 10 |
| 2019-02-11 17:00:27 | Off | ||
| 5 | 2019-02-12 09:17:28 | On | |
| 2019-02-12 16:45:47 | Off | ||
| 6 | 2019-02-13 12:29:05 | On | |
| 2019-02-13 16:46:11 | Off | ||
| 7 | 2019-02-14 09:08:28 | On | |
| 2019-02-14 10:18:10 | Off | ||
| 8 | 2019-02-15 09:08:39 | On | |
| 2019-02-15 16:59:19 | Off | ||
| 9 | 2019-02-16 09:06:41 | On | |
| 2019-02-16 16:42:06 | Off | ||
| 10 | 2019-02-18 09:10:42 | On | 17 |
| 2019-02-18 16:41:31 | Off | ||
| 11 | 2019-02-19 09:07:33 | On | |
| 2019-02-19 15:43:10 | Off | ||
| 12 | 2019-02-20 09:11:06 | On | |
| 2019-02-20 16:52:36 | Off | ||
| 13 | 2019-02-21 09:19:46 | On | |
| 2019-02-21 16:39:30 | Off | ||
| 14 | 2019-02-22 09:12:21 | On | |
| 2019-02-22 09:51:24 | Off | 23 | |
| 15 | 2019-02-25 08:57:37 | On | 24 |
| 2019-02-25 16:34:36 | Off | ||
| 16 | 2019-02-26 08:41:27 | On | |
| 2019-02-26 15:30:22 | On | ||
| 2019-02-26 16:37:32 | Off | ||
| 17 | 2019-02-27 08:50:59 | On | |
| 2019-02-27 16:36:49 | Off | ||
| 18 | 2019-02-28 09:49:14 | On | |
| 2019-02-28 16:53:29 | Off | ||
| 19 | 2019-03-01 08:39:02 | On | |
| 2019-03-01 16:17:47 | Off | ||
| 20 | 2019-03-02 08:44:17 | On |
* WebCache01.dat 파일 생성시각
- Windows OS 부팅/로그인시 생성되는 것으로 보임
- 부팅 후 브라우저에서 작업중인 내용은 WebCache01.dat 파일이 저장되는 같은 폴더(%UserProfile%\AppData\Local\Microsoft\Windows\WebCache\) 내에 V01002E0.log 등과 같은 형태로 저장됨(이 또한 실시간 저장되는 것은 아닌 것으로 보임)
- 따라서 WebCache01.dat 파일 획득을 위해서는 “Clean Shutdown(Windows OS 정상종료)” 상태로 수집되어야 함 (Live 상태로 WebCache01.dat 수집하는 경우, 당해 부팅 이전 시점까지의 Cache, History, Cookie, Download List 등만 확인 가능함)
* History 中 실제 해당 페이지 방문시각 정보는 'modified time'에 기록됨
- 같은 IE10 브라우저 내의 서로 다른 탭에서 검색을 한 뒤 해당 브라우저 종료시 ‘Modified Time’은 정상적으로 저장되나, ‘Accessed Time’은 여러 탭 중 하나라도 마지막으로 검색을 한 시점으로 일괄 저장됨
-> WEFA(by 4n6tech.com)에서는 방문시각을 ‘Accessed Time’ 정보를 보여주기 때문에 서로 다른 시각에 검색을 하였음에도 같은 시간정보를 보여줌(WEFA 사용하여 분석시 주의 필요!)
-> IE10Analyzer(by 김정현)에서는 모든 시간정보(Modified Time, Accessed Time, Expiry Time)를 표시해줌. 그중에서 ‘Modified Time’ 정보가 실제 방문시각임
-> BrowsingHistoryview(By Nirsoft)에서는 ‘Modified Time’ 정보를 방문시각으로 표시하고 있음
* Test 기록 (환경: IE11, Win7)
- 09:24 IE10 브라우저 시작
- 09:24 ~ 09:25 1~3번탭 네이버검색
- 09:25 IE10 브라우저 종료
- 09:29 IE10 브라우저 재시작
- 09:30 1~3번탭 네이버검색
- 09:31 IE10 브라우저 종료
- 09:34 IE10 브라우저 재시작
- 09:34 1~3번탭 네이버검색
- 09:35 1~3번탭 네이버검색
- 09:36 IE10 브라우저 종료, 시스템 종료
-> WEFA
-> IE10Analyzer
-> BrowsingHistoryView
* WebCache 분석 中 추가 확인이 필요한 사항 (아시는 분은 댓글로 알려주시면 정말 감사하겠습니다.)
'Digital Forensics > Windows' 카테고리의 다른 글
| 이벤트로그 분석 - USB 연결흔적 확인 (1) | 2021.01.10 |
|---|---|
| 이벤트로그 분석도구 (0) | 2021.01.09 |
| 윈도우 이벤트로그(Windows EventLog) (0) | 2021.01.08 |
| Windows 10 레지스트리(Registry) 분석 (0) | 2020.12.31 |
| μTorrent Classic P2P 클라이언트 포렌식, μTorrent Web 포렌식 (0) | 2019.10.07 |
