웹 아티팩트: 사용자의 웹 사용 흔적과 검색어, 자주 사용하는 페이지 등을 분석함으로써 사용자의 성향, 관심사를 파악하고 웹을 통한 정보 유출 가능성을 확인할 수 있음
(1). 히스토리: 사용자가 방문한 웹 사이트의 접속 정보로 편의를 위해 저장
(2). 캐시: 웹 사이트 재접속 시 이미지나 정보들을 다시 다운로드받지 않고 빠르게 로딩하기 위하여 사이트로부터 자동으로 받는 데이터
(3). 쿠키: 웹 사이트에서 사용하는 사용자에 관한 데이터로 사용자의 하드 또는 서버에 저장
(4). 다운로드 파일: 사용자가 의도적으로 선택하여 자신의 컴퓨터에 내려 받은 파일들에 대한 정보, 사용자의 의도와 관계 없이 다운로드하는 캐시와는 구분이 필요
Firefox 아티팩트 분석
1. Cache 분석
(1) pm 5:45에 firefox 검색창에 안녕하세요 검색
(2)-1 about:cache를 firefox 주소창에 검색
검색전 - 아무런 메모리 존재 X
검색후: 캐시 메모리 증가를 확인
(2)-2: 캐시가 저장되는 절대 경로인
C:\Users\사용자이름\AppData\Local\Mozilla\Firefox\Profiles\gu62w0z7.default-release\cache2에 들어가 캐시가 보관된 것을 확인
2. History 분석, Downloads 분석
C:\Users\사용자이름\AppData\Roaming\Mozilla\Firefox\Profiles\gu62w0z7.default-release\places.sqlite
사용자가 방문한 URL 및 접속 시간, 다운로드 내역 등이 기록.
3. Cookie 분석
C:\Users\사용자이름\AppData\Roaming\Mozilla\Firefox\Profiles\gu62w0z7.default-release\cookies.sqlite
Safari 로그 분석
1. Cache 분석
C:\Users\사용자이름\AppData\Local\Mozilla\Firefox\Profiles\gu62w0z7.default-release\cache2에 보관된 캐시를 HxD로 분석
<상세 분석>
(1) URL
(2) DATE: 접속 시간
(3) Last-Modified: 변경 시간
(4) 파일 크기
(5) Content Type
2. History 분석 (+Download 분석)
파이어폭스 또한 크롬 브라우저와 같이 sqlite db 형태로 파일을 관리함. 그렇기 때문에 손쉽게 SQLITE DB Browser을 통해 분석 가능함
DB Browser for SQLite
DB Browser for SQLite The Official home of the DB Browser for SQLite Screenshot What it is DB Browser for SQLite (DB4S) is a high quality, visual, open source tool to create, design, and edit database files compatible with SQLite. DB4S is for users and dev
sqlitebrowser.org
사용자가 방문한 URL 및 접속 시간 다운로드 내역 등이 기록되는
C:\Users\사용자이름\AppData\Roaming\Mozilla\Firefox\Profiles\gu62w0z7.default-release\places.sqlite
SQLITE 파일을 가지고 분석
moz_places 테이블과 moz_historyvisits 테이블에 의해 방문 url과 방문 기록을 분리하여 관리
moz_places: 방문했던 사이트 고유의 url들이 저장
moz_historyvisits: moz_places 테이블을 참조하여 방문 이력이 관리
다운로드 기록은 Chrome 브라우저와 달리 다운로드받은 URL을 따로 관리하지 않고 moz_historyvisits 테이블에서 통합관리하며, moz_annos 테이블에 다운로드 내역이 추가적으로 기록
moz_annos: 다운로드에 대한 3가지 정보가(저장경로, 저장파일명, 메타테이터) 각각 attribute 번호로 구분하여 각각 기록
moz_anno_attribute: 구분 내역 기록. 10가지 항목에 대해서 구분하는데 파일다운로드 관련 attribute는 3~5번으로 각각 저장경로, 저장파일명, 메타데이터
즐겨찾기와 관련된 테이블은 moz_bookmarks_roots, moz_bookmarks이며 즐겨찾기 저장 시 history와 유사한 형태로 moz_places 테이블을 참조하여 저장
| 항목 | 설명 |
| moz_annos | 다운로드 파일 관리 테이블 |
| moz_places | 사용자가 방문한 URL을 관리하는 테이블 |
| moz_historyvisits | 사용자가 방문한 기록을 관리하는 테이블(urls 테이블을 참조하여 기록) |
| moz_bookmarks_roots | 즐겨찾기 시스템에서 사용되는 특정 디렉토리들의 리스트를 저장 |
| moz_bookmarks | 실거 즐겨찾기 항목들이 저장 |
(1) moz_annos
Firefox브라우저의 다운로드 기록은 Chrome 브라우저와는 다르게 방문 기록과 함께 통합적으로 관리. moz_places 테이블과 moz_historyvisits에 기록되며 다운로드, 북마크 설정 등의 추가정보(annotation)가 moz_annos테이블에 기록
(2)moz_places
각각의 방문 URL을 기록
(3) moz_historyvisits
각각의 방문 내역 기록
(4)moz_bookmarks
실제 즐겨찾기 항목들이 저장. 각 즐겨찾기의 주소는 moz_places 테이블을 참조하여 저장
(3) Cookie
쿠키 정보 조회 가능
+시크릿모드에서의 분석
정확한 분석을 위해서 모든 쿠키와 사이트 데이터 삭제
사생활 보호 모드 실행
안녕하세요 검색 후 실습 진행
(1) Cache 분석
Cache 정보 쌓임
(2) History, Downloads 분석
이전과 동일
(3) Cookie 분석
추가된 정보 X
gflow-security.tistory.com/entry/Window-Web-browser-Analysis3
Window Web browser-Analysis[3]
본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다. (도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 2. 파이어 폭스 파이어폭스는 다양한 플러그인을 제공해�
gflow-security.tistory.com
Window Web browser-Analysis[3]
본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다. (도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 2. 파이어 폭스 파이어폭스는 다양한 플러그인을 제공해�
gflow-security.tistory.com
Window Web browser-Analysis[3]
본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다. (도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 2. 파이어 폭스 파이어폭스는 다양한 플러그인을 제공해�
gflow-security.tistory.com
Window Web browser-Analysis[3]
본 포스팅에서는 윈도우의 웹 브라우저 분석에 대해서 다룹니다. (도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.) 2. 파이어 폭스 파이어폭스는 다양한 플러그인을 제공해�
gflow-security.tistory.com
'INCOGNITO' 카테고리의 다른 글
| 파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석(3) (0) | 2020.08.03 |
|---|---|
| 파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석(2) (0) | 2020.07.31 |
| 파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석 (0) | 2020.07.28 |
| 파이어폭스 일반 모드와 시크릿 모드 별 웹 아티팩트 분석 (0) | 2020.07.24 |
| Volatility:: vm 메모리덤프 파일 분석 (0) | 2020.06.05 |
