IEHistoryView
소개
IEHistoryView는 Nirsoft에서 무료로 제공하는 Internet Explorer히스토리 분석 도구이다. 최신 업데이트 일자는 2011년 12월 13일이며, 최신 버전은 1.7이다. 본 항에서는 최신버전인 1.7을 기반으로 보고서를 작성하였다.
IEHistoryView는 Windows환경에서 실행 가능하며 Internet Explorer히스토리 정보를 파싱하여 보여준다. IEHistoryView는 GUI와 CLI 모두 지원하며, 파싱한 결과 값을 HTML, XML, TXT 파일포맷으로 저장할 수 있다. IEHistoryView 실행 화면은 [그림 2-15-35]와 같다.
사용법
IEHistoryView를 실행하면 Internet Explorer의 기본 히스토리 저장 경로에서 히스토리 정보를 파싱해온다. Internet Explorer의 히스토리 기본 경로는 %LocalAppData%\Microsoft\Windows\History다. 사용자가 파싱 경로를 지정할 수 있으며, 경로는 File 탭의 “Select History Folder”항목을 선택하여 지정할 수 있다. IEHistoryView는 CLI도 지원하며 옵션은 [표 1]과 같다.
| 옵션 | 설명 |
|---|---|
| /stext <Filename> | 일반적인 text 파일로 저장 |
| /stab <Filename> | 탭으로 구분된 text 파일로 저장 |
| /stabular <Filename> | 표 형식의 text 파일로 저장 |
| /shtml <Filename> | HTML 파일로 저장 (수평) |
| /sverhtml <Filename> | HTML 파일로 저장 (수직) |
| /sxml <Filename> | XML 파일로 저장 |
| /sort <column> | 열을 오름차순 또는 내림차순으로 정렬
<column>에는 열 번호(0부터 시작)나 열 이름(“URL”)을 넣음 내림차순으로 정렬할 경우에는 <column> 앞에 ‘~’을 붙임 |
| /nosort | 열을 정렬하지 않음 |
| -folder | 특정 폴더에서 URL 목록을 로드 |
| -user | 특정 사용자의 URL 목록을 로드 |
| -allsubfolders <0 | 1> | IEHistoryView가 모든 하위 폴더에서 히스토리를 저장할지 결정(1 = 예, 0 = 아니오) |
| -allprofiles <0 | 1> | IEHistoryView가 모든 유저 프로파일에서 히스토리를 저장할지 결정(1 = 예, 0 = 아니오) |
| -lastdays <days> | 지난 <days>일부터 히스토리를 로드 |
| -hidefileitems <0 | 1> | IEHistoryView가 파일시스템 히스토리를 숨길지 결정(1 = 예, 0 = 아니오) |
| -showtypedurls <0 | 1> | IEHistoryView가 레지스트리에서 입력한 URL 목록을 보여줄지 결정(1 = 예, 0 = 아니오) |
도구기능
IEHistoryView의 파싱하는 정보는 [표 2]과 같다.
| 항목 | 설명 |
|---|---|
| URL | 방문한 URL |
| Title | 웹브라우저 제목표시줄에 표시되는 내용 |
| Hits | 방문 횟수 |
| Modified Date | 수정된 시간 |
| Expiration Date | 만료 시간 |
| User Name | 사용자 이름 |
| Subfolder | 해당 방문 기록이 저장된 하위 폴더 |
IEHistoryView는 히스토리 목록에서 원하는 문자열을 검색할 수 있는 검색 기능과 선택한 히스토리를 바로 HTML파일포맷으로 저장하는 HTML 리포트 기능이 있다. 저장할 수 있는 파일포맷은 Text File(txt), Tab Delimited Text File(txt), Tabular Text File(txt), HTML File – Horizontal(html), HTML File – Vertical(html), XML File(xml)이다.
제한사항
IEHistoryView는 웹브라우저 중 Internet Explorer에만 분석이 국한되어 있으며 카빙 기능이나 추가적인 기능이 없다는 단점이 있다. 또한 Internet Explorer 10 이상은 지원하지 않는다.
수사 활용 방안
IEHistoryVIew는 포터블이고, 빠르며 직관적인 도구이기 때문에 초기 수사 시 활용될 수 있다.
