ChromeCacheView

Digital Forensic Wikipedia
JaehyeokHan (토론 | 기여)님의 2015년 1월 22일 (목) 22:00 판
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 가기 검색하러 가기

소개

[그림 1] ChromeCacheView 실행 화면

ChromeCacheView는 Nirsoft에서 무료로 제공하는 Chrome 캐시 분석 도구이다. 최신 업데이트 일자는 2014년 1월 11일이며, 최신 버전은 1.56이다. 본 항에서는 최신버전인 1.56을 기반으로 보고서를 작성하였다. ChromeCacheView는 Windows환경에서 실행 가능하다. ChromeCacheView는 Google Chrome의 캐시 정보를 보여준다. ChromeCacheView는 UI와 CLI 모두 지원하며, 파싱한 결과 값을 HTML, XML, CSV, TXT파일포맷으로 저장할 수 있다. ChromeCacheView 실행 화면은 [그림 1]과 같다.


사용법

ChromeCacheView를 실행하면 Google Chrome의 기본 경로에서 캐시 파일 정보를 파싱해온다. Chrome 웹브라우저의 캐시 파일이 저장되는 폴더 기본 경로는 %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache이다. 사용자가 파싱 경로를 지정할 수 있으며, 경로는 File탭의 “Select Cache Folder”항목을 선택하여 지정할 수 있다. 또한 ChromeCacheView는 CLI도 지원하며 옵션은 [표 1]과 같다.

/stext <Filename> 일반적인 text 파일로 저장
/stab <Filename> 탭으로 구분된 text 파일로 저장
/scomma <Filename> comma로 구분된 text 파일로 저장(CSV)
/stabular <Filename> 표 형식의 text 파일로 저장
/shtml <Filename> HTML 파일로 저장 (수평)
/sverhtml <Filename> HTML 파일로 저장 (수직)
/sxml <Filename> XML 파일로 저장
/copycache <URL> <Content Type> 조건에 맞는 캐시 파일을 특정 폴더 안에 복사
<URL> : 캐시 파일 복사 대상이 되는 사이트
<Content Type> : 캐시 파일 종류
/CopyFilesFolder <Folder> 캐시 파일을 복사할 폴더 지정
/UseWebSiteDirStructure <0 | 1> 파일을 웹사이트의 디렉터리 구조로 저장
(0 = 아니오, 1 = 예)
/UpdateModifiedTime <0 | 1> 웹서버 수정 시간에 맞춰 복사된 파일의 수정 시간을 변경
(0 = 아니오, 1 = 예)
/NewNameIfExist <0 | 1> 파일이 존재하면 새 이름으로 복사
(0 = 아니오, 1 = 예)

도구 기능

ChromeCacheView가 파싱하는 정보는 [표 2]와 같다.

[표 2] ChromeCacheView 파싱 정보
항목 설명
Filename 캐시 파일명
URL 캐시 파일을 다운로드한 URL
Content Type 캐시 파일 종류
File Size 캐시 파일의 크기
Last Accessed 최종 접근 시간
Server Time 서버 시간
Server Last Modified 서버에서 최종 수정 시간
Expire Time 캐시 만료 시간
Server Name 서버 이름 (Apache, lighthttpd 등)
Server Response 서버 응답 (정상적일 경우 HTTP/1.1 200 OK)

ChromeCacheView는 히스토리 목록에서 원하는 문자열을 검색할 수 있는 검색 기능과 선택한 히스토리를 바로 HTML파일포맷으로 저장하는 HTML 리포트 기능이 있다. 저장할 수 있는 파일포맷은 Text File(txt), Tab Delimited Text File(txt), Tabular Text File(txt), Comma Delimited Text File(csv), HTML File – Horizontal(html), HTML File – Vertical(html), XML File(xml)이다.

제한사항

ChromeCacheView는 웹브라우저 중 Chrome에만 분석이 국한되어 있으며 카빙 기능이나 추가적인 기능이 없다는 단점이 있다.

수사 활용 방안

ChromeCacheView는 포터블이고, 빠르며 직관적인 도구이기 때문에 초기 수사 시 활용될 수 있다.