◦ 구성파일들(settings.dat, resume.dat, store.dat)에는 μTorrent Web 설정정보가 저장되며, utweb.log에는 에러로그 등이 저장됨
◦ resume.dat, store.dat는 설치 즉시 생성되나, settings.dat는 μTorrent Web을 실행하여 파일을 1회 다운로드 받으면 생성됨
◦ μTorrent 클라이언트가 종료되면, settings.dat 파일은 백업되고 .bak가새로운 파일 확장자로 붙으며, store.dat 파일은 dat-journal 파일이 생성됨. resume.dat는 클라이언트가 종료될 때 상태 정보를 저장함
※ μTorrent Web과 달리, μTorrent Classic에서는 dat 파일(resume.dat, settings.dat, dht.dat, rss.dat)에 설정 및 로그 정보가 저장됨. μTorrent Classic 클라이언트가 종료되면, dat 파일들은 백업되고, .old가 새 파일 확장자로 붙음
【 BEncode 에디터를 활용한 분석 】
◦ BEncode(B-encode) : P2P 파일 공유 시스템인 BitTorrent에서 구조화된 데이터를 저장하고 전송하기 위해 사용되는 인코딩 방식
◦ μTorrent Web의 경우, .torrent 파일, settings.dat 파일, .ses_state 파일이 BEncode로 작성되어 BEncode 디코딩 도구를 이용해야 함
※ μTorrent Classic은 구성파일(.dat)들이 모두 BEncode로 작성되어 BEncode Editor로 볼 수 있었으나, μTorrent Web은 settings.dat, .ses_state 외 구성파일(resume.dat, store.dat)이 sqlite로 작성됨
* 토렌트 배포수단에는 위에서 기술한 1) seed 파일을 이용한 방법과 2) 마그넷(magnet)주소를 이용한 방법이 있음. 마그넷 해시 코드는 마그넷 주소(마그넷 링크)의 주요 구성부분임 (마그넷 주소 예시. magnet:?xt=urn:btih:마그넷 해시코드)
※ 마그넷을 이용한 경우와 seed 파일을 이용한 경우 차이점 : 1) 통상 트래커 정보가 없어 다운로드의 시작이 느리고(트래커 주소 추가기능도 존재하므로 이런 경우 차이 없음), 2) 다운로드 시작 전에는 파일정보를 알 수 없으며, 3) 비공개토렌트의 경우트래커 정보가 없어 마그넷 주소로는 다운로드 불가함
◦ 본 보고서의 .torrent 파일을 마그넷 주소로 변환 가능하며, 역으로 마그넷 주소를 .torrent 파일로 변환도 가능함 (https://grep.kr/torrent등 온라인 웹사이트를 이용하여 변환 가능)
【 store.dat 파일 분석 】
◦ μTorrent Web의 store.dat 파일은 sqlite로 작성되었으며, μTorrent Classic에서는 없었던 구성파일임
◦ μTorrent Web의 설치시각, 마지막 실행시각 등 확인 가능함
◦ μTorrent Web의 공인 IP주소 확인 가능함
◦ 그 밖에 μTorrent Classic의 resume.dat 파일에 저장되던 시간정보 등이 UNIX Time 형식으로 저장됨 (https://epochconverter.com/등 웹사이트를 이용하여 GMT, KST로 변환 가능)
【 μTorrent Web 관련 윈도우 레지스트리 아티팩트 】
◦ μTorrent Web은 기존 μTorrent Classic 클라이언트와는 달리 다음 레지스트리키만 확인됨
◦ IE8부터 쿠키(cookie, 최대 4KB 데이터 저장 가능)의 추가된 기능인 Domstorage(최대 10MB 저장 가능)