웹 브라우저

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

정의 및 설명

국내 웹 브라우저 점유율

웹 브라우저는 웹 서버와 쌍방향 통신을 하고 HTML 문서나 파일과 연동하여 출력하는 역할을 수행한다. 웹 브라우저는 인터넷망에서 정보를 검색하는 데 사용하는 응용 프로그램을 말한다. 웹 브라우저는 웹 페이지 열기, 최근 방문한 URL 및 즐겨찾기 제공, 웹 페이지 저장 기능 등을 제공한다. 현재 우리나라에서 가장 많이 쓰는 웹 브라우저는 Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari, Opera 등이 있다. 다음 그림은 우리나라의 웹 브라우저 점유율을 나타낸 것이다. 웹 브라우저는 응용프로그램이기 때문에 운영체제에 종속적으로 동작을 한다. 하지만 운영체제별 웹 브라우저 지원여부는 웹 브라우저 제조사별로 다르다. 아래 표는 웹 브라우저 별로 지원하는 운영체제를 정리한 것이다.

웹 브라우저 별 지원 운영체제
웹 브라우저 이름 정의 브라우저엔진 지원 운영체제
Internet Explorer 마이크로소프트에서 개발한 웹 브라우저이다. 트라이던트(Trident) Windows
Mozilla Firefox 모질라 재단과 모질라 코퍼레이션이 개발하는 자유 소프트웨어 웹 브라우저이다. 게코(Gecko) Windows, Mac, Linux, Android
Google Chrome 구글에서 개발한 웹키트 레이아웃 엔진을 이용한 프리웨어 웹 브라우저이다. 웹키트(WebKit) Windows, Mac, Linux
Apple Safari 애플이 개발한 웹 브라우저로 아이튠즈와 유사한 북마크 관리 체계를 가지고 있고, 애플의 퀵타임 멀티미디어 기술과 통합되어 있으며, 탭 브라우징 인터페이스를 사용한다. 웹키트(WebKit) Windows, Mac
Opera 오페라는 노르웨이, 오슬로의 오페라 소프트웨어가 개발하고 있으며, 핵심 레이아웃 엔진("프레스토")은 어도비 같은 협력 사업자들에게서 라이선스를 받았고, 어도비 크리에이티브 스위트에 통합되어 있다. 프레스토(Presto) Windows, Mac, Linux
Swing Browser 줌인터넷에서 제작한 인터넷 브라우저이다. 액티브X와 속도를 동시에 누리는 것을 목표로 액티브X 사용도가 비교적 높은 대한민국의 인터넷 환경에 최적화되어 있다. 웹키트(WebKit) Windows, Android, iOS

기술 현황

웹 브라우저 로그 파일 분석

웹 브라우저의 로그 파일은 크게 Cookies, History, Session, Download File List, Cache로 나눠진다. 각각 해당 로그 파일들의 분석들은 다 이뤄진 상태이며 [1][2].해당 로그 파일을 심층적으로 분석하는 단계까지 이르렀다 [3] . 추가적으로 웹 브라우저의 설정정보나 각 웹 브라우저만이 저장하는 로그파일들을 분석해야 한다.

삭제된 웹 브라우저 로그 파일(데이터) 복구

현재 웹 브라우저 로그 파일 복구는 많이 연구되었으며, 각 웹 브라우저 마다 복구가 가능하다. [4] 또한 로그 파일 중에 sqlite를 쓰는 웹 브라우저들은 sqlite 복구 방법을 통하여 로그 파일을 복구할 수 있다. [5]

물리메모리 내의 인터넷 접속 흔적 분석

물리메모리와 페이지파일에서 인터넷 접속 흔적을 찾을 수 있고, 많은 연구가 진행되어왔다. [6] 하지만, 인터넷 접속 흔적만을 파싱해서 보여주는 도구가 없으며 이에 관해 연구가 필요하다.

보안 (private, secret) 모드 대응

웹 브라우저의 private나 secret 모드로 이용할 때 사용자 흔적은 물리메모리에만 남으며 웹 브라우저에 따라 Cache파일을 이용하기도 한다. 이에 관한 연구는 많이 진행되어 있으며 [7][8] , private나 secret 모드로 사용했을 때 어떻게 대응을 해야 할지 연구가 필요하다.

포터블 웹 브라우저 사용 흔적 분석

포터블 웹 브라우저는 일단 웹 브라우저와 달리 포터블 웹 브라우저가 설치된 폴더에만 남으며, 보통 USB나 외장드라이브에 설치하여 사용한다. 하지만 링크파일이나 UserAssist에 사용 흔적이 남기 때문에 이를 이용하여 사용자가 포터블 웹 브라우저를 사용하였는지 추적이 가능하다. [9]

웹사이트 로그인 정보 (ID/PW) 추출

웹 사이트에 로그인을 하면 해당 정보는 Cookie에 남는다. Cookie에 남은 정보는 해당 사이트마다 다르며, ID와 PW가 남을 수도 있고 안 남을 수도 있다. 이것은 사이트마다 다 다른데, 사이트마다 업데이트가 빈번하게 일어나고 포맷이 달라질 수 있기 때문에 주기적으로 연구가 필요하다.

관련 도구

웹 브라우저 관련 도구
도구 이름 제조사 지원 웹 브라우저
WEFA [10] FOUR & SIX TECH Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari
Internet Evidence Finder [11] MagnetFOpera
Index.dat Analyzer [12] Systenance software solutions Internet Explorer
Index.dat Viewer [13] pointstone Internet Explorer
IECacheView [14] Nirsoft Internet Explorer
IEHistoryView [15] Nirsoft Internet Explorer
IECookieView [16] Nirsoft Internet Explorer
MozillaCacheView [17] Nirsoft Mozilla Firefox
MozillaHistoryView [18] Nirsoft Mozilla Firefox
MozillaCookieView [19] Nirsoft Mozilla Firefox
FirefoxDownloadsView [20] Nirsoft Mozilla Firefox
ChromeCacheView [21] Nirsoft Google Chrome
ChromeHistoryView [22] Nirsoft Google Chrome
ChromeForensics [23] wanware Google Chrome
SafariCacheView [24] Nirsoft Apple Safari
SafariHistoryView [25] Nirsoft Apple Safari
OperaCacheView [26] Nirsoft Opera

향후 연구

웹 브라우저는 종류가 많고 업데이트가 빈번하게 이루어진다. 또한 웹 브라우저에는 사건과 관련된 실마리가 많이 포함되어 있으며, 사용자의 ID/PW를 얻을 수도 있다. 그렇기 때문에 위에서 언급한 웹 브라우저 로그 파일 분석, 웹 브라우저 로그 파일 복구, 물리메모리 내의 인터넷 접속 흔적 분석, 보안(private, secret) 모드 대응, 포터블 웹 브라우저 사용 흔적 분석, 웹 사이트 로그인 정보(ID/PW) 추출 등에 심화적인 연구가 필요하다. 또한 웹 브라우저 포렌식 도구는 모든 웹 브라우저를 대상으로 하며, 기본적인 로그 정보뿐만 아니라 웹 브라우저 설정정보, 물리메모리 정보 등을 포함해야한다.

참고문헌

  1. Keith J.jones, “Forensic Analysis of Internet Explorer Activity Files”, http://www.mcafee.com/us/resources/white-papers/foundstone/wp-pasco.pdf.
  2. Harry Parsonage, “Web Browser session restore forensic: Computer Forensics Miscellany”,http://computerforensics.parsonage.co.uk/downloads/WebBrowserSessionRestoreForensics.pdf
  3. Junghoon Oh, Seungbong Lee, Sangjin Lee, “Advanced evidence collection and analysis of web browser activity”, Digital Investigation, Volume 8, Supplement, S62-S70, 2011.
  4. Murilo Tito Pereira, “Forensic analysis of the Firefox3 Internet history and recovery of deleted SQLite records”, Digital Investigation, Volume 5, Issues 3–4, Pages 93-103, 2009.
  5. S. Jeon, J. Bang, K. Byun, and S. Lee, "A recovery method of deleted record for SQLite database", ;presented at Personal and Ubiquitous Computing, 2012, pp.707-715.
  6. Nicolas Ruff, “Windows memory forensics”, Journal in COmputer Virology, Volum 4, Issue 2, pp83-100, May 2008
  7. Said, H. Coll. of Inf. Technol., Zayed Univ., Dubai, United Arab Emirates, “Forensic analysis of private browsing artifacts”, Innovations in Information Technology (IIT), 2011 International Conference on, pp 197-202, April 2011
  8. Gaurav Aggarwal Elie Bursztein, Collin Jackson, Dan Boneh, “An Analysis of Private Browsing Modes in Modern Browsers”, USENIX Security'10 Proceedings of the 19th USENIX conference on Secur, 2010
  9. Jong-Hyun Choi, Keun-gi Lee, Jungheum Park, Changhoon Lee, Sangjin Lee, “Analysis Framework to Detect Artifacts of Protable Web browsers”, The 9th FTRA International Conference on Secure and Trust Computingdata management, and Applications(STA 2012), vol 180, pp 207-214, September 2012
  10. WEFA: http://4n6tech.com/pro_kr/info/info.php?pn=1&sn=1&dn=44&6Tech
  11. IEF, http://www.magnetforensics.com/products/internet-evidence-finder/
  12. Index.dat Analyzer: http://www.systenance.com/indexdat.php
  13. Index.dat Viewer: http://www.pointstone.com/products/index.dat-Viewer/
  14. IECacheView: http://www.nirsoft.net/utils/ie_cache_viewer.html
  15. IEHistoryView: http://www.nirsoft.net/utils/iehv.html
  16. IECookieView: http://www.nirsoft.net/utils/internet_explorer_cookies_view.html
  17. MozillaCacheView: http://www.nirsoft.net/utils/mozilla_cache_viewer.html
  18. MozillaHistoryView: http://www.nirsoft.net/utils/mozilla_history_view.html
  19. MozillaCookieView: http://www.nirsoft.net/utils/mzcv.html
  20. FirefoxDownloadsView: http://www.nirsoft.net/utils/firefox_downloads_view.html
  21. ChromeCacheView: http://www.nirsoft.net/utils/chrome_cache_view.html
  22. ChromeHistoryView: http://www.nirsoft.net/utils/chrome_history_view.html
  23. ChromeForensics: http://www.woanware.co.uk/?page_id=70
  24. SafariCacheView: http://www.nirsoft.net/utils/safari_cache_view.html
  25. SafariHistoryView: http://www.nirsoft.net/utils/safari_history_view.html
  26. OperaCacheView: http://www.nirsoft.net/utils/opera_cache_view.html