ChromeForensics
소개[편집]
ChromeFornesics는 woanware에서 무료로 제공하는 Chrome 분석 도구이다. 최신 업데이트 일자는 2011년 7월 1일이며, 최신 버전은 1.0.5이다. 본 항에서는 최신버전인 1.05를 기반으로 보고서를 작성하였다.
ChromeForensics는 Windows환경에서 실행 가능하다. ChromeForensics는 방문한 사이트 목록, 검색 목록, 다운로드 목록, 쿠키 목록 등을 보여준다. 파싱한 정보들은 CSV, HTML파일포맷으로 저장할 수 있다. 또한 방문한 사이트 목록의 경우 SQL 문을 이용해 검색이 가능하다. ChromeForensics 실행 화면은 [그림 1]과 같다.
사용법[편집]
File탭의 Load Files를 선택하여, 분석하고자하는 Chrome 아티팩트 경로를 지정해 준다. 폴더 경로를 지정하고 OK를 클릭하면 Chrome을 이용해 방문한 사이트 목록, 검색한 목록, 다운로드한 목록, 쿠키 목록 등의 사용 흔적을 보여준다.
도구 기능[편집]
ChromeForensics의 파싱 정보는 [표 1]과 같다.
| 항목 | 설명 |
|---|---|
| Visits | 방문 사이트 목록 |
| Keyword Search Terms | 웹사이트 검색 기록 |
| Downloads | 다운로드 목록 |
| Autofill | 자동 완성 기록 |
| Cookies | 쿠키 목록 |
| Favicons | 웹브라우저 주소표시줄 앞에 나타나는 아이콘 정보 |
| Thumbnails | 섬네일 정보 |
| History Index | 히스토리 인덱스 |
ChromeForensics는 방문 사이트 목록에서 쿼리문을 사용할 수 있도록 Tools – Queries – Where Clause에서 [그림 2]와 같은 화면을 제공한다. URL 중 google이라는 문자열이 나오면 출력을 해주는 쿼리라는 것을 확인할 수 있다.
제한사항[편집]
ChromeForensics는 포터블 버전이 아니라 설치를 해야 한다는 단점이 있다. 또한 최종 업데이트가 2011년으로, 최신 버전의 Chrome의 사용 정보를 파싱해 올 때 [그림 3]과 같은 문제가 발생한다. 방문 사이트 목록, favicon, Downloads 목록을 제대로 파싱을 하지 못하고 SQL문이 제대로 동작하지 않는 문제가 있다.
수사 활용 방안[편집]
ChromeForensics는 더 이상 업데이트가 되지 않아 최근의 Chrome을 분석하지 못하기 때문에 수사에 활용하기에 어려움이 있다.
