웹브라우저 사용흔적 분석 도구
웹브라우저 사용흔적 분석 도구란 Internet Explorer, Chrome, Firefox, Safari 등의 웹브라우저를 사용하여 접속한 웹 사이트 기록, 검색기록, 다운로드한 쿠키, 임시 파일과 같은 사용흔적을 분석하는 도구이다.
- BrowsingHistoryView
- ChromeCacheView
- ChromeForensics
- ChromeHistoryView
- FireFoxForensics
- firefoxsessionstoreextractor
- IECacheView
- IECookiesView
- IEF(Internet Evidence Finder)
- IEHistoryView
- MozillaCacheView
- MozillaCookiesView
- MozillaHistoryView
- MyLastSearch
- OperaCacheView
- SafariCacheView
- SafariHistoryView
- WebBrowserPassView
- WEFA(Web browser Forensic Analyzer)
- Windows ‘index.dat’ Parser (id)
웹브라우저 사용흔적 분석도구 기능 분석[편집]
웹브라우저 사용흔적 분석 도구의 주요 기능은 인터넷 임시파일, 히스토리, 쿠키, 세션, 북마크, 자동 로그인 정보, 검색 기록, 다운로드 목록과 같은 웹브라우저 아티팩트 파싱 기능이다. 그밖에 웹브라우저 사용흔적 분석 도구들은 키워드 검색 기능, 보고서 출력 기능, 타임라인 분석 기능을 제공한다. 웹브라우저 분석 도구의 성능을 비교할 수 있는 종속변인은 운영체제와 웹브라우저 지원 여부, 정상적인 웹브라우저 아티팩트 파싱 여부, 삭제된 웹브라우저 아티팩트 파싱 여부, 한글 지원 여부, 도구 업데이트 지원 여부, GUI, CLI 지원 여부 등이 있다. 이를 토대로 웹브라우저 사용흔적 분석 도구 테스트 데이터 세트 구축 전략은 [표 1]와 같다.
| 종속변인 | 세부설명 |
|---|---|
| 운영체제 | 운영체제 지원 여부 확인 - Windows XP - Windows 7 - Windows 8 - Windows 8.1 - OS X Mavericks |
| 웹브라우저 | 웹브라우저 지원 여부 확인 - Internet Explorer 9 - Internet Explorer 10 - Internet Explorer 11 - Firefox 32 - Chrome 37 - Safari 5.1.7 |
| 분석 가능한 웹브라우저 아티팩트 |
- 인터넷 임시파일 - 히스토리 - 쿠키 - 세션 - 북마크 - 자동 로그인 정보 - 검색 기록 - 다운로드 목록 |
| 웹브라우저 아티팩트 파싱 |
정상적인 웹브라우저 아티팩트 파싱 여부 삭제된 웹브라우저 아티팩트 파싱 여부 |
| 키워드 검색 | 단순 검색 기능 지원 여부 정규표현식, SQL 검색 기능 지원 여부 |
| 언어 | 언어 지원 여부 확인 - 한글, 영어 - 히스토리, 검색기록, 다운로드 목록 확인 |
| 인터페이스 | GUI, CLI 혹은 둘 다 지원 여부 확인 |
| 업데이트 | 제조사에서 최신 업데이트 지원 여부 확인 |
| 분석 보고서 | 분석 보고서 생성 여부 확인 |
| 내보내기 | 분석 대상과 다른 포맷으로 저장가능 여부 확인 (CSV, TXT, HTML, XML, PDF) |
[표 1]를 기준으로 웹브라우저 사용흔적 분석 도구의 테스트 데이터 세트 구축을 진행하였으며, 테스트 데이터 세트의 구축절차는 다음과 같다.
- 웹브라우저 별 인터넷 사용흔적 데이터 생성
- 검색, 파일 다운로드, 웹 사이트 방문, 북마크 생성
- 각 웹브라우저에서 사용흔적 삭제
[표 2]는 웹브라우저 사용흔적 분석 도구가 실제로 설치·실행되는 운영체제, 분석 가능한 웹브라우저와 아티팩트를 정리한 것이다. FirefoxForensics, firefoxsessionstoreextractor, OperaCacheView는 웹브라우저와 아티팩트 항목에 “X”로 표시가 되어 있다. 이 세 가지 도구는 최신 제시된 운영체제에서 설치 및 실행이 가능하지만 최신 Firefox와 Opera 웹브라우저의 아티팩트를 아무것도 분석하지 못한다. 한편 BrowsingHistoryView, IEF, WEFA는 6가지 이상의 웹브라우저를 지원하는 점이 주목할 만하다. 특히 IEF와 WEFA는 분석 가능한 아티팩트가 타 도구에 비해 다양하다는 장점이 있다.
| 도구 | 운영체제 | 웹브라우저 | 아티팩트 |
|---|---|---|---|
| BrowsingHistoryView | Windows XP Windows 7 32bit Windows 7 64bit |
Internet Explorer 8 Internet Explorer 10 Internet Explorer 11 Chrome 37 Firefox 32 Safari 5.1.7 |
History |
| ChromeCacheView | Windows XP Windows 7 32bit Windows 7 64bit |
Chrome 37 | Cache |
| ChromeForensics | Windows XP Windows 7 32bit Windows 7 64bit |
Chrome 37 | History Keyword Search Autofill Cookies Thumnails |
| ChromeHistoryView | Windows XP Windows 7 32bit Windows 7 64bit |
Chrome 37 | History |
| FireFoxForensics | Windows XP Windows 7 32bit Windows 7 64bit |
X | X |
| Firefoxsessionstoreextractor | Windows XP Windows 7 32bit Windows 7 64bit |
X | X |
| IECacheView | Windows XP Windows 7 32bit Windows 7 64bit |
Internet Explorer 8 Internet Explorer 10 Internet Explorer 11 |
Cache |
| IECookiesView | Windows XP Windows 7 32bit Windows 7 64bit |
Internet Explorer 8 Internet Explorer 10 Internet Explorer 11 |
Cookies |
| IEF (Internet Evidence Finder) | Windows XP Windows 7 32bit Windows 7 64bit |
Internet Explorer 8 Internet Explorer 10 Internet Explorer 11 Chrome 37 Firefox 32 Opera 24 Safari 5.1.7 |
History Cache Cookies Downlaods Session KeywordSearch LocalFile Bookmarks Logins Favicons |
| IEHistoryView | Windows XP | Internet Explorer 8 | History |
| MozillaCacheView | Windows XP Windows 7 32bit Windows 7 64bit |
Firefox 32 | Cache |
| MozillaCookiesView | Windows XP Windows 7 32bit Windows 7 64bit |
Firefox 32 | Cookies |
| MozillaHistoryView | Windows XP Windows 7 32bit Windows 7 64bit |
Firefox 32 | History |
| MyLastSearch | Windows XP Windows 7 32bit Windows 7 64bit |
Internet Explorer 8 Internet Explorer 10 Internet Explorer 11 Chrome 37 Firefox 32 |
Keyword Search |
| OperaCacheView | Windows XP Windows 7 32bit Windows 7 64bit |
X | X |
| SafariCacheView | Windows XP Windows 7 32bit Windows 7 64bit |
Safari 5.1.7 | Cache |
| SafariHistoryView | Windows XP Windows 7 32bit Windows 7 64bit |
Safari 5.1.7 | History |
| WebBrowserPassView | Windows XP Windows 7 32bit Windows 7 64bit |
Internet Explorer 8 Chrome 37 Opera 24 |
Logins |
| WEFA (Web browser Forensic Analyzer) |
Windows XP Windows 7 32bit Windows 7 64bit |
Internet Explorer 8 Internet Explorer 10 Internet Explorer 11 Chrome 37 Firefox 32 Safari 5.1.7 Opera 24 |
History Cache Cookies Downlaods Session KeywordSearch LocalFiles TemporaryInternetFiles |
| Windows‘index.dat’Parser (id) | Windows XP | Internet Explorer 8 | index.dat |
[표 3]은 웹브라우저 사용흔적 분석 도구의 기능을 분석한 표이다. ChromeForensics, MyLastSearch, WebBrowserPassView의 정상 아티팩트 파싱 항목이 “△”인 것은 이 도구들이 일부 아티팩트를 정상적으로 분석하지 못하기 때문이다.
| 도구 | 설치 필요 | 정상 아티팩트 파싱 | 삭제 아티팩트 파싱 | 한글 지원 | 인터페이스 | 출력 | 업데이트 지원 | 검색 | 보고서 | 타임라인 |
|---|---|---|---|---|---|---|---|---|---|---|
| BrowsingHistoryView | X | O | X | O | GUI CLI |
txt csv html xml |
O | O | O | X |
| ChromeCacheView | X | O | X | O | GUI CLI |
txt csv html xml |
O | O | O | X |
| ChromeForensics | O | △ | X | O | GUI | csv html |
X | X | O | X |
| ChromeHistoryView | X | O | X | O | GUI CLI |
txt csv html xml |
O | O | O | X |
| FireFoxForensics | O | X | X | X | GUI | X | X | X | X | X |
| Firefoxsessionstoreextractor | X | X | X | X | CLI | X | X | X | X | X |
| IECacheView | X | O | X | O | GUI CLI |
txt csv html xml |
O | O | O | X |
| IECookiesView | X | O | X | O | GUI CLI |
txt | O | O | X | X |
| IEF (Internet Evidence Finder) |
O | O | O | O | GUI | txt csv html xml |
O | O | O | O |
| IEHistoryView | X | O | X | O | GUI CLI |
txt html xml |
X | O | X | X |
| MozillaCacheView | X | O | X | O | GUI CLI |
txt csv html xml |
O | O | O | X |
| MozillaCookiesView | X | O | X | O | GUI CLI |
txt html xml |
O | O | O | X |
| MozillaHistoryView | X | O | X | O | GUI CLI |
txt csv html xml |
O | O | O | X |
| MyLastSearch | X | △ | X | O | GUI CLI |
txt csv html xml |
O | O | O | X |
| OperaCacheView | X | X | X | X | GUI CLI |
X | X | X | X | X |
| SafariCacheView | X | O | X | O | GUI CLI |
txt csv html xml |
X | O | O | X |
| SafariHistoryView | X | O | X | O | GUI CLI |
txt csv html xml |
X | O | O | X |
| WebBrowserPassView | X | △ | X | ? | GUI CLI |
txt csv html xml |
O | O | O | X |
| WEFA (Web browser Forensic Analyzer) |
X | O | O | O | GUI | csv | O | O | O | O |
| Windows‘index.dat’Parser (id) | X | O | X | O | CLI | csv | X | X | X | X |
IEF와 WEFA는 정상 아티팩트 파싱, 삭제 아티팩트 파싱, 한글 지원, 업데이트 지원, 검색 기능, 보고서 기능, 타임라인 기능 항목을 모두 충족한다. WEFA는 IEF와 달리 설치가 필요 없다는 장점이 있으나 IEF는 디스크 이미지, 섀도 복사본 등 다양한 입력과 txt, csv, html, xml, pdf처럼 출력 포맷을 지원한다는 장점이 있다. 또한 WEFA는 Internet Explorer 8의 삭제된 히스토리만 분석이 가능한 반면 IEF는 모든 웹브라우저의 삭제된 히스토리를 분석할 수 있다. 삭제된 히스토리 분석 능력도 차이가 있는데, 테스트 결과 WEFA가 삭제된 4개의 히스토리 중 1개를 복구했으나 IEF는 3개를 복구했다. 정상 아티팩트의 경우, 같은 아티팩트를 분석하는 도구들 간의 차이는 대동소이하다. 예를 들어 Chrome 히스토리를 분석할 수 있는 도구는 BrowsingHistoryView, ChromeForensics, ChromeHistoryView, IEF, WEFA인데 테스트 데이터셋에서 BrowsingHistoryView, ChromeHistoryView, WEFA의 분석 결과는 289개로 동일했다. ChromeForensics의 분석 결과는 254개로 조금 더 적었는데 289개로 결과를 출력한 도구들은 다른 시간에 같은 웹사이트에 방문하면 그 방문 기록을 시간별로 출력하지만 ChromeForensics는 최종 방문 기록만 출력하기 때문이다. 한편 IEF의 Chrome 히스토리 분석 결과는 508개로 타 도구보다 더 많았는데 이는 중복 레코드를 많이 출력했기 때문이다. IEF의 분석 결과도 중복 레코드를 제거하면 254개가 되었다.
