WEFA(Web browser Forensic Analyzer)
목차
소개[편집]
WEFA는 4&6TECH의 상용 웹브라우저 사용 흔적 분석 도구이다. WEFA의 최신 버전은 1.3.4이다. 본 항에서는 최신버전인 1.3.4를 기반으로 보고서를 작성하였다.
WEFA는 Windows환경에서 실행 가능하다. WEFA는 Internet Explorer, Firefox, Chrome, Safari, Opera웹브라우저의 사용 흔적 분석할 수 있다. 그리고 그 결과를 CSV파일이나 보고서로 출력하는 기능이 있다. WEFA 실행 화면은 [그림 1]와 같다.
사용법[편집]
케이스 생성[편집]
WEFA를 실행하여 파일탭의 열기를 클릭하여 [그림 2]처럼 조사관, 케이스 번호, 메모, 케이스 폴더 경로를 입력하고 새 케이스를 생성한다.
파일 수집[편집]
[[파일:WEFA 수집 영역 선택 화면.png|섬네일|[그림 3] 파일명WEFA 수집 영역 선택 화면] 파일탭의 웹브라우저 로그파일 수집을 클릭하면 [그림 3]과 같은 창을 볼 수 있는데, 분석하고자 하는 볼륨을 선택하고 진행을 누른다.
[그림4]과 같이 수집 대상 계정과 사용한 웹브라우저를 출력해준다. 오른쪽에 수집 옵션을 필요에 따라 선택하고 수집 버튼을 누른다.
수집이 완료된 후 케이스 생성 단계에서 설정한 폴더 안에 Collection 폴더를 보면, WEFA_Collection_YYYYMMDDHHMMSS와같은 형식의 폴더 안에 수집한 폴더와 파일들이 저장된 것을 확인할 수 있다.
분석[편집]
파일탭의 웹브라우저 로그정보 분석을 클릭하면 [그림 5]와 같은 창을 볼 수 있다. 폴더 열기 버튼을 클릭하여 이전 단계에서 수집한 WEFA_Collection_YYYYMMDDHHMMSS 폴더를 선택한다.
수집한 파일들에 대한 파싱을 시작하고 완료하면 분석 결과를 출력한다.
도구 기능[편집]
WEFA는 웹 브라우저 분석 결과를 캐시, 히스토리, 쿠키, 다운로드 목록, 세션, 검색 정보, 로컬파일 열람, 임시인터넷파일, 타임라인 탭으로 구분하여 출력한다. 분석 결과에서 필터 창을 통해 원하는 문자열만을 포함한 결과를 재 출력하도록 필터링 기능을 제공한다. 또한 WEFA는 웹페이지 뷰어 기능과 분석 결과를 보고서로 출력하는 기능이 있다.
캐시[편집]
WEFA는 브라우저별 캐시 정보를 파싱하여 [그림 6]처럼 출력한다. 캐시 탭의 각 항목은 [표 1]와 같은 정보를 나타낸다.
| 항목 | 설명 |
| 브라우저 | 사용한 웹브라우저 |
| 디코딩 URL | URL에서 URL 인코딩된 부분을 디코딩한 URL |
| URL | 캐시를 다운로드한 URL |
| 방문시간 | 캐시를 다운로드한 시간 |
| 캐시 파일명 | 다운로드한 캐시 파일 이름 |
| 저장 파일명 | 저장된 캐시 파일 이름 |
| 파일크기 | 캐시 파일 크기 |
| 저장 폴더명 | 저장된 폴더 이름 |
| 파일경로 | 저장된 파일 경로 |
히스토리[편집]
WEFA는 브라우저별 히스토리 정보를 파싱하여 [그림 7]처럼 출력한다. 히스토리 탭의 각 항목은 [표 2]과 같은 정보를 나타낸다.
| 항목 | 설명 |
| 브라우저 | 사용한 웹브라우저 |
| 행위 | 사용자의 행위 분석(검색, 블로그, SNS 등) |
| 검색정보 | 행위가 검색일 경우 검색한 내용 |
| 디코딩 URL | URL에서 URL 인코딩된 부분을 디코딩한 URL |
| URL | 방문한 URL |
| 방문시간 | 방문한 시간 |
| 제목 | 방문한 웹페이지 제목표시줄 내용 |
| 방문횟수 | 방문한 횟수 |
| 타입 | 방문한 방법(URL 입력, 링크 연결 등) |
쿠키[편집]
WEFA는 브라우저별 쿠키 정보를 파싱하여 [그림 8]처럼 출력한다. 쿠키 탭의 각 항목은 [표 3]과 같은 정보를 나타낸다.
| 항목 | 설명 |
| 브라우저 | 사용한 웹브라우저 |
| 호스트 | 쿠키를 생성한 사이트 |
| 경로 | 사이트에서 쿠키가 생성된 경로 |
| 마지막 접근시간 | 마지막으로 쿠키를 사용한 시간 |
| 이름 | 쿠키 이름 |
| 값 | 쿠키 값 |
| 디코딩 값 | 디코딩한 값 |
| 상세정보 | 상세정보 |
| 만료시간 | 쿠키 만료 시간 |
| Secure 옵션 | 1이면 클라이언트측 스크립트를 사용하여 해당 쿠키에 액세스 불가능 |
| HttpOnly 옵션 | 1이면 SSL(Secure Sockets Layer)을 사용하여 해당 쿠키를 전송, 즉 HTTPS로만 쿠키를 전송 |
다운로드 목록[편집]
WEFA는 브라우저별 다운로드 목록 정보를 파싱하여 [그림 9]처럼 출력한다. 다운로드 목록 탭의 각 항목은 [표 4]과 같은 정보를 나타낸다.
| 항목 | 설명 |
| 브라우저 | 사용한 웹브라우저 |
| 파일명 | 다운로드한 파일 이름 |
| URL | 다운로드 URL |
| 저장위치 | 로컬 저장 위치 |
| 저장시간 | 다운로드 파일 저장 시간 |
| 파일크기 | 다운로드 파일 크기 |
| 다운로드 결과 | 다운로드 결과 |
세션[편집]
WEFA는 브라우저별 세션 정보를 파싱하여 [그림 10]처럼 출력한다. 세션 탭의 각 항목은 [표 5]와 같은 정보를 나타낸다.
| 항목 | 설명 |
| 브라우저 | 사용한 웹브라우저 |
| 행위 | 사용자의 행위 분석(검색, 블로그, SNS 등) |
| 검색정보 | 행위가 검색일 경우 검색한 내용 |
| 디코딩 URL | URL에서 URL 인코딩된 부분을 디코딩한 URL |
| URL | 방문한 URL |
| 세션 시작 시간 | 세션이 시작된 시간 |
| 세션 종료 시간 | 세션이 종료된 시간 |
| 제목 | 방문한 웹페이지 제목표시줄 내용 |
검색 정보[편집]
WEFA는 브라우저별 검색 정보를 파싱하여 [그림 11]처럼 출력한다. 검색 정보 탭의 각 항목은 [표 6]과 같은 정보를 나타낸다.
| 항목 | 설명 |
| 브라우저 | 사용한 웹브라우저 |
| 검색정보 | 사용자가 검색한 내용 |
| 디코딩 URL | URL에서 URL 인코딩된 부분을 디코딩한 URL |
| URL | 방문한 URL |
| 방문시간 | 방문한 시간 |
| 제목 | 방문한 웹페이지 제목표시줄 내용 |
| 방문횟수 | 방문한 횟수 |
| 타입 | 방문한 방법(URL 입력, 링크 연결 등) |
로컬파일 열람[편집]
WEFA는 브라우저별 로컬파일 열람 정보를 파싱하여 [그림 12]처럼 출력한다. 로컬파일 열람 탭의 각 항목은 [표 7]과 같은 정보를 나타낸다.
| 항목 | 설명 |
| 파일명 | 열람한 파일 이름 |
| 파일경로 | 열람한 파일 경로 |
| 열람 시간 | 열람한 시간 |
임시임터넷파일[편집]
WEFA는 브라우저별 임시인터넷파일 정보를 파싱하여 [그림 13]처럼 출력한다. 임시인터넷파일 탭의 각 항목은 [표 8]와 같은 정보를 나타낸다.
| 항목 | 설명 |
| 폴더명 | 임시파일이 저장된 폴더 |
| 파일명 | 임시파일 이름 |
| 확장자 | 임시파일 확장자 |
| 파일크기 | 임시파일 크기 |
| 전체경로 | 임시파일의 전체 경로 |
| 생성시간 | 임시파일이 생성된 시간 |
타임라인[편집]
WEFA는 인터넷 아티팩트 분석 결과를 [그림 14]처럼 타임라인으로 그려준다. 타임라인 탭에는 타임라인 기준일을 설정하여 이후의 결과를 출력한다. 또한 검색, 메일, SNS, 블로그 등 WEFA가 사용자 행위를 분석하여 필터링하는 기능이 있다.
뷰어[편집]
인터넷 히스토리 목록 중 원하는 것을 더블클릭하면 오른쪽 뷰어 창에서 해당 웹페이지를 볼 수 있다. 뷰어 기능은 캐시 탭이나 세션 탭에서도 사용할 수 있다. 뷰어의 “URL 파라미터 뷰어”는 URL 파라미터를 분석자가 보기 쉽게 변수와 값으로 나누어 보여주는 기능이다.
[그림 15]는 사용자가 검색한 사이트를 WEFA 뷰어에서 보여주는 화면이다.
파일 출력[편집]
도구탭의 CSV 파일 출력을 선택해서 저장할 폴더를 지정하면, WEFA가 분석한 탭을 각각의 CSV포맷 파일로 저장한다. WEFA는 보고서 기능도 제공하는데, 도구탭의 보고서를 선택하면 [그림 16]처럼 보고서를 출력할 수 있는 화면이 생성된다.
키워드 검색[편집]
WEFA는 다양한 키워드 검색 기능을 제공하고 있다. [그림 17]처럼 WEFA에서는 다양한 키워드 검색 조건을 제공한다. 우선, 키워드 검색어에 정규식을 쓸 수 있으며, 일반 키워드도 입력할 수 있다. 또한 날짜를 제한을 두어 검색을 할 수 있으며, 키워드 검색을 할 탭을 별도로 설정 가능하다.
제한사항[편집]
WEFA는 Internet Explorer 10 이상의 웹브라우저에 대한 일부 정보를 제대로 출력하지 못한다. 로컬파일 열람 탭의 경우 [그림 18]처럼 파일명과 파일경로가 비정상적으로 출력된다.
수사 활용 방안[편집]
WEFA는 별도의 설치가 필요 없는 포터블 프로그램이고 대부분의 주요 웹브라우저를 분석할 수 있으며 다양한 분석 기능을 제공하기 때문에 수사 시 활용될 수 있다. 또한 강력한 키워드 검색 기능을 제공하고 있어, 수사 시 유용하게 활용될 수 있다.
