SafariCacheView
소개
SafariCacheView는 Nirsoft에서 무료로 제공하는 Safari 캐시 분석 도구이다. 최신 업데이트 일자는 2012년 4월 29일이며, 최신 버전은 1.11이다. 본 항에서는 최신버전인 1.11을 기반으로 보고서를 작성하였다. SafariCacheView는 Windows 환경에서 실행 가능하며 Safari의 캐시 파일들의 목록을 보여준다. SafariCacheView는 GUI와 CLI 모두 지원하며, 파싱한 결과 값을 HTML, XML, CSV, TXT파일포맷으로 저장할 수 있다. SafariCacheView 실행 화면은 [그림 1]와 같다.
사용법
SafariCacheView를 실행하면 Safari의 기본 캐시 저장 경로에서 캐시 파일 정보를 파싱해온다. Safari의 캐시 기본 경로는 %LocalAppData%\Apple Computer\Safari\Cache.db다. 사용자가 파싱 경로를 지정할 수 있으며, 경로는 Options탭의 “Advanced Options”항목을 선택하여 지정할 수 있다. SafariCacheView는 CLI도 지원하며 옵션은 [표 1]과 같다.
| 옵션 | 설명 |
|---|---|
| /stext <Filename> | 일반적인 text 파일로 저장 |
| /stab <Filename> | 탭으로 구분된 text 파일로 저장 |
| /scomma <Filename> | comma로 구분된 text 파일로 저장(csv) |
| /stabular <Filename> | 표 형식의 text 파일로 저장 |
| /shtml <Filename> | HTML 파일로 저장 (수평) |
| /sverhtml <Filename> | HTML 파일로 저장 (수직) |
| /sxml <Filename> | XML 파일로 저장 |
| /loadfile <Cache File> | 특정 캐시 파일을 로드 |
도구 기능
SafariCacheView가 파싱하는 정보는 [표 2-15-30]과 같다.
항목
설명
Filename
캐시 파일명
Content Type
캐시 파일 종류
URL
캐시 파일을 다운로드한 URL
Content Length
캐시 내용의 길이
Server Name
서버 이름 (Apache, lighthttpd 등)
Server Time
서버 시간
Expiration Time
캐시 만료 시간
Last Modified Time
최종 수정 시간
[표 2-15-] SafariCacheView 파싱 정보
SafariCacheView는 캐시 목록에서 원하는 문자열을 검색할 수 있는 검색 기능과 선택한 캐시 목록을 바로 HTML파일포맷으로 저장하는 HTML 리포트 기능이 있다. 저장할 수 있는 파일포맷은 Text File(txt), Tab Delimited Text File(txt), Tabular Text File(txt), Comma Delimited Text File(csv), HTML File – Horizontal(html), HTML File – Vertical(html), XML File(xml)이다.
제한사항
SafariCacheView는 웹브라우저 중 Safari에만 분석이 국한되어 있으며 카빙 기능이나 추가적인 기능이 없다는 단점이 있다.
수사 활용 방안
SafariCacheView는 포터블이고, 빠르며 직관적인 도구이기 때문에 초기 수사 시 활용될 수 있다.
