BrowsingHistoryView
소개[편집]
BrowsingHistoryView는 Nirsoft에서 무료로 제공하는 웹 브라우저 히스토리 분석 도구이다. 최신 업데이트 날짜는 2014년 5월 15일이며, 최신 버전은 1.52이다. 본 항에서는 최신버전인 1.52 버전으로 보고서를 작성하였다.
BrowsingHistoryView는 Windows환경에서 실행이 가능하며, Internet Explorer, Chrome, Chrome Canary, Firefox, SeaMonkey, Safari의 히스토리 정보를 볼 수 있다. BrowsingHistoryView는 GUI와 CLI 모두 지원하며, 파싱한 결과 값을 HTML, XML, CSV, TXT 파일포맷으로 저장할 수 있다. BrowsingHistoryView 실행 화면은 [그림 1]과 같다.
사용법[편집]
BrowsingHistoryView를 실행하면 [그림 2]와 같은 옵션 창이 뜨는데 “Filter by visit data/time”항목에서 웹브라우저 히스토리를 검색할 기간을 선택한다. “Web Browsers”항목에서는 분석할 웹브라우저를 체크한다. “Load history from..”항목에서는 히스토리를 불러올 경로를 지정한다. 경로에는 실행 중인 시스템의 모든 사용자, 실행 중인 시스템의 현재 사용자, 특정 프로파일 폴더, 특정 프로파일, 특정 폴더, 특정 히스토리 파일이 있다. 원하는 옵션을 선택하면, 선택한 웹 브라우저 히스토리 정보를 가져온다. 히스토리 목록을 저장하려면, 저장하고자 하는 히스토리 목록을 선택하여 오른쪽 클릭을 하고 “Save Selected Items”를 선택한다. BrowsingHistoryView는 CLI도 지원하며 옵션은 [표 1]과 같다.
| 옵션 | 설명 |
|---|---|
| /cfg <Filename> | 특정 설정 파일로 BrowsingHistoryView 시작함 |
| /stext <Filename> | 일반적인 text 파일로 저장 |
| /stab <Filename> | 탭으로 구분된 text 파일로 저장 |
| /scomma <Filename> | comma로 구분된 text 파일로 저장(csv) |
| /stabular <Filename> | 표 형식의 text 파일로 저장 |
| /shtml <Filename> | HTML 파일로 저장 (수평) |
| /sverhtml <Filename> | HTML 파일로 저장 (수직) |
| /sxml <Filename> | XML 파일로 저장 |
| /sort <column> | 열을 오름차순 또는 내림차순으로 정렬 <column>에는 열 번호(0부터 시작)나 열 이름(“Title”)을 넣음 내림차순으로 정렬할 경우에는 <column> 앞에 ‘~’을 붙임 |
| /nosort | 열을 정렬하지 않음 |
| /SaveDirect | SaveDirect 모드로 저장 SaveDirect 모드란 히스토리를 메모리에 로드하지 않고 디스크에 곧바로 저장하는 것으로 물리 메모리가 한정되어 있고 히스토리 용량이 클 경우 유용함 /sort 옵션으로 정렬을 하지 못한다는 단점이 있음 |
| /HistorySource <Source> | 히스토리 데이터 소스의 타입을 명시 - 1 : 현재 사용 중인 시스템에서 로드(모든 사용자) - 2 : 현재 사용 중인 시스템에서 로드(현재 사용자만) - 3 : 특정 프로파일 폴더에서 로드 - 4 : 특정 프로파일에서 로드 |
| /HistorySourceFolder <Folder> | /HistorySource 가 3이나 4인 경우 폴더 경로 명시 |
| /VisitTimeFilterType <Filter Type> | 날짜/시간 필터의 타입 명시 - 1 : 모든 날짜/시간 히스토리 로드 - 2 : 지난 xx시간 동안의 히스토리 로드 - 3 : 지난 xx일 동안의 히스토리 로드 - 4 : 특정 날짜/시간 범위의 히스토리 로드 |
| /VisitTimeFilterValue <Filter Value> | /VisitTimeFilterType이 2나 3인 경우 필터값 명시 |
| /VisitTimeFrom | /VisitTimeFilterType이 4인 경우 날짜/시간 범위 명시 날짜/시간 값 포맷 : dd-mm-yyyy hh:nn:ss |
| /LoadIE <0 | 1> /LoadFirefox <0 | 1> /LoadChrome <0 | 1> /LoadSafari <0 | 1> |
IE/Firefox/Chrome/Safari 웹브라우저 히스토리를 로드할 것인지 명시 - 1 : 로드 - 0 : 로드하지 않음 |
도구 기능[편집]
BrowsingHistoryView가 파싱하는 정보는 [표 2]와 같다.
| URL | 사용자가 방문한 URL |
| Title | 웹브라우저 제목표시줄에 표시되는 내용 |
| Visit Time | URL 방문 시간 |
| Visit Count | URL 방문 횟수 |
| Visited From | URL에 방문하기 전에 방문했던 URL (Chrome, Firefox만 지원) |
| Web Browser | 사용한 웹브라우저 |
| User Profile | 사용자 계정 |
BrowsingHistoryView는 히스토리 목록에서 원하는 문자열을 검색할 수 있는 검색 기능과 선택한 히스토리를 바로 HTML파일포맷으로 저장하는 HTML 리포트 기능이 있다. 저장할 수 있는 파일포맷은 Text File(txt), Tab Delimited Text File(txt), Tabular Text File(txt), Comma Delimited Text File(csv), HTML File – Horizontal(html), HTML File – Vertical(html), XML File(xml)이다.
제한사항[편집]
Chrome, Firefox, Safari의 경우는 Title 내용이 정상적으로 출력되지만, Internet Explorer 10이상에 대한 Title 내용은 보여주지 않는다. 또 카빙 기능이나 추가적인 기능이 없다는 단점이 있다.
수사 활용 방안[편집]
BrowsingHistoryView는 포터블이고, 빠르며 직관적인 도구이기 때문에 초기 수사 시 활용될 수 있다.
