목차 1. 웹브라우저로그분석 : 심화과정 통합타임라인분석 Time Zone 분석 검색어추출 URL 인코딩분석 사용자행위분류 삭제로그정보복구 2. 결론 forensicinsight.org Page 2 / 26

Similar documents
슬라이드 1

PowerPoint Presentation

04 Special Report Exhibition Calendar Business Manner 68 ECA KEIC Quiz 2

본화면입니다. Internet Explorer 6, 7, 8, 9 History %UserProfile%\Local Settings\History\History.IE5\index.dat %UserProfile%\Local Settings\History\History.I


<%DOC NAME%> User Manual

*지급결제제도 01_차례

untitled

<4D F736F F F696E74202D205B444D435D36BFF95FB5F0C1F6C5D0B9CCB5F0BEEE20B5BFC7E220BAB8B0EDBCAD5F C5EBC7D5BABB29>

2

<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

Web Scraper in 30 Minutes 강철

<%DOC NAME%> User Manual

PowerPoint 프레젠테이션

공지사항

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

TEL XXXXXXXX FAX XXXXXXXX Tel XXXXXXX ISSN (

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

HTML5가 웹 환경에 미치는 영향 고 있어 웹 플랫폼 환경과는 차이가 있다. HTML5는 기존 HTML 기반 웹 브라우저와의 호환성을 유지하면서도, 구조적인 마크업(mark-up) 및 편리한 웹 폼(web form) 기능을 제공하고, 리치웹 애플리케이 션(RIA)을

<사회통합프로그램 한국어 중급 2 교재 구성> 단 원 주제/단원명 과제 문법 어휘 결혼 준비 설명 (명사)(이)야말 1. 결혼 관련 1 결혼 하기 로 어휘 결혼 풍습 소개 (동사)(으)려던 2. 결혼 준비 하기 참이다 관련 어휘 얼마나 (동사 드라마 내용 평 형용사)(

슬라이드 1

1단원

202

190

<C1A4BAB8BBEABEF720B9CEB0A3B9E9BCAD2DC3D6C1BE2E687770>

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

PowerPoint Presentation

歯MW-1000AP_Manual_Kor_HJS.PDF

요약 1

정도전 출생의 진실과 허구.hwp

PowerPoint Presentation

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

용어사전 PDF

160322_ADOP 상품 소개서_1.0

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

Secure Programming Lecture1 : Introduction

만약, 업그레이드 도중 실패하게 되면, 배터리를 뺏다 다시 꼽으신 후 전원을 켜면, 안내문구가 나오게 됩니다. 그 상태로 PC 연결 후 업그레이드를 다시 실행하시면 됩니다. 3) 단말을 재부팅합니다. - 리부팅 후에 단말에서 업그레이드를 진행합니다. 업그레이드 과정 중

3장

2

슬라이드 1

( )업계소식

( )전국네트워크


( )업계소식

( )업계소식(14.01월)

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

Social Network

A y y y y y # 2#

(주)나우프로필의 이동형 대표 개편의 방향이 시민참여를 많이 하는 방향이라, 홈페이지 시안 이 매우 간편해져서 소통이 쉬워질 것 같다. 다만 웹보다 모바일 이용자가 지속적으로 급증하는 추세이므로 이에 적합한 구조가 되도록 보장해야 한다. 소셜미디어전략연구소 배운철 대표

제 31회 전국 고교생 문예백일장 산문 부문 심사평.hwp

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

LG Business Insight 1176

2 Journal of Disaster Prevention

<35B9DAC1F6BCF62CC0CCBFECC8C62CB7F9B5BFBCAE2E687770>

MySQL-.. 1

PowerPoint Presentation

PART

Part Part

£01¦4Àå-2

½ºÅ丮ÅÚ¸µ3_³»Áö

272*406OSAKAÃÖÁ¾-¼öÁ¤b64ٽÚ

Secure Programming Lecture1 : Introduction

Microsoft PowerPoint - ch02_인터넷 이해와 활용.ppt

Week13

4? [The Fourth Industrial Revolution] IT :,,,. : (AI), ,, 2, 4 3, : 4 3.

e- 11 (Source: IMT strategy 1999 'PERMISSION ' ) The World Best Knowledge Providers Network

Google Maps Platform

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

.,,,,,....,. B ( ) (B),. 2

0.?€?⒰꼪?듄꼳?녁꼷?⒰꼨?듄꼱???귗뀬?뚡뀿 ?믟뀴?녲뀱?メ???꼳?α녅.indd

BH의 아이폰 추천 어플

Slide 1

? Search Search Search Search Long-Tail Long-Tail Long-Tail Long-Tail Media Media Media Media Web2.0 Web2.0 Web2.0 Web2.0 Communication Advertisement

빅데이터를 통해 세상을 읽는다 부산광역시 해운대구 김혜정 해운대 관광? 빅데이터에 물어봐! 전국 최초로 빅데이터 분석팀을 신설해 수준 높은 서비스 제공과 과학적 예측 행정을 구현하고 있는 해운대구의 참신한 도전기. 해운대를 찾아오는 국내외 수많은 관광객들에게 즐거운 추

<C804><CCB4>.pdf

Analyst Briefing

Microsoft Word 인터넷몬슬리.docx

QYQABILIGOUI.hwp

F120S_(Rev1.0)_1130.indd

<4D F736F F D20BBEABEF7BAD0BCAE5FBEF7C1BE2DBBEABEF7BAD0BCAEB8AEC6F7C6AE E646F63>

PowerPoint Presentation

<443A5CB1E8C7F6C1D85CB1E8C7F6C1D85FB0E6B8AE5CBDC5B0E8BEE0BCADB7F95C F492E2E2E5F53724D E A5A >

슬라이드 1

Microsoft PowerPoint - KNOM2008제출_연승호_v1.0

목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항


Microsoft Word K_01_15.docx

새 희망을 꿈꾸며 이 필 정 새벽에 눈을 뜨니 끝도 없는 길목에 하얀 눈만 쌓여 있다. 보이지 않는 새들의 울음소리에 아침 햇살만 서성이고 감실거리는 착시 현상 속에 눈꽃들만 입을 열고 황홀한 기색에 잠을 부르는 바람은 잊지 못할 아픈 기억들을 깨끗한 세상 속으로 떠나

참고: 본 제품 및 설명서를 사용하기 전에 다음을 반드시 읽어보십시오. 안전 수칙 및 보증 설명서 Regulatory Notice 중요 안전 수칙 및 취급 정보 iii페이지 부록 C 주의사항 97페이지 안전 수칙 및 보증 설명서와 Regulatory Notice가 웹

Microsoft Word - ICT Report

목 차 I. 교육 계획의 기저 1 1. 경북 교육 지표 1 2. 구미 교육의 지표 2 3. 경북 및 구미 유치원 교육의 방향 3 4. 유치원 현황 4 II. 본원 교육 목표 7 1. 본원의 교육 목표 및 운영 중점 7 2. 중점 교육활동 추진 계획 8 III. 교육과정

저작권 및 상표 정보 본 문서 및 관련된 모든 내용은 국제 저작권 및 기타 지적 재산권의 적용을 받고 이에 따라 보호되며, Nero AG 및 자회사, 계열사 또는 라이선스 제공자의 자산입니다. All Rights Reserved. 이 문서의 어떠한 부분도 Nero AG

PowerPoint 프레젠테이션

歯화일.PDF

Multi Channel Analysis. Multi Channel Analytics :!! - (Ad network ) Report! -! -!. Valuepotion Multi Channel Analytics! (1) Install! (2) 3 (4 ~ 6 Page

정보화 산업의 발전단계 : 정보혁명의 진화 정보화 산업의 발전단계 1세기에 두 번 정도의 큰 기술혁명이 이루어져 경제성장의 원동력으로 작용 uit 시대는 정보혁명 중 인터넷 이후의 새로운 기술혁명인 컨버전스 기술이 핵심이 되는 시대 uit 시대는 정보화의 극대화와 타

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

마켓온_제품소개서_ key

Microsoft PowerPoint - 권장 사양

Transcription:

FORENSIC INSIGHT SEMINAR Web Browser Forensics : Part3 blueangel blueangel1275@gmail.com http://blueangel-forensic-note.tistory.com

목차 1. 웹브라우저로그분석 : 심화과정 통합타임라인분석 Time Zone 분석 검색어추출 URL 인코딩분석 사용자행위분류 삭제로그정보복구 2. 결론 forensicinsight.org Page 2 / 26

- 통합타임라인분석 - Time Zone 분석 - 검색어추출 - URL 인코딩분석 - 사용자행위분류 - 삭제로그정보복구 forensicinsight.org Page 3 / 26

통합타임라인분석 타임라인분석? 웹브라우저의사용내역을일련의시간흐름으로재구성 사용자의사이트간이동경로를파악, 전체적인사용자행위를유추 통합타임라인분석의필요성 한명의사용자가여러브라우저를동시에사용하는경우가많아짐 è 여러브라우저의로그를하나의타임라인상에서분석해주는도구필요 ~!!! 각로그의시간정보를기준으로통합 시간정보 forensicinsight.org Page 4 / 26

통합타임라인분석 5 대웹브라우저모두서로다른시간포멧사용 하나의공통된포멧으로통일할필요성이있음 웹브라우저 Internet Explorer Firefox Chrome Safari Opera 시간정보포멧 FILETIME: 100-nanosecond (10-9 ) Since January 1, 1601 00:00:00 (UTC+0) PRTime: microsecond(10-6 ) Since January 1, 1970 00:00:00 (UTC+0) WEBKIT Time: microsecond(10-6 ) Since January 1, 1601 00:00:00 (UTC+0) CFAbsoluteTime: second Since January 1, 2001 00:00:00 (UTC+0) UNIX Time: second Since January 1, 1970 00:00:00 (UTC+0) forensicinsight.org Page 5 / 26

- 통합타임라인분석 - Time Zone 분석 - 검색어추출 - URL 인코딩분석 - 사용자행위분류 - 삭제로그정보복구 forensicinsight.org Page 6 / 26

타임존분석 5대웹브라우저모두 UTC+0을기준으로시간정보저장 로그수집장소의지역시간으로변경할필요성이있음 è 분석도구의타임존변환기능필요 ~!!! 예외적으로지역시간으로저장되는경우가있음 è IE 주간히스토리정보의접근시간 forensicinsight.org Page 7 / 26

- 통합타임라인분석 - Time Zone 분석 - 검색어추출 - URL 인코딩분석 - 사용자행위분류 - 삭제로그정보복구 forensicinsight.org Page 8 / 26

검색어추출 검색어? 사용자의의도와관심사를가장명확하게알수있는키워드 웹브라우저포렌식조사과정에서가장중요한정보 일반적으로검색엔진에입력한검색어는 Cache, History 로그의 URL 에기록됨 기본적인 URL 구조 구글검색엔진에서 forensic 키워드검색시, 로그에저장되는 URL http://www.google.co.kr/#sclient=psy&hl=ko&newwindow=1&source=hp&q=forensic&aq=f&aqi=g5 &aql=&oq=&pbx=1&fp=a03afb05b2691392&biw=1280&bih=939 forensicinsight.org Page 9 / 26

검색어추출 전세계검색엔진점유율 ( 출처 : NetMarketShare, 2012 년 6 월 ) forensicinsight.org Page 10 / 26

검색어추출 검색어추출을위한각검색엔질별시그니처와검색어위치 검색엔진 도메인 시그니처 검색어위치 Google google.com sclient 변수 q 의값 Yahoo search.yahoo.com /search 변수 p 의값 Baidu baidu.com /s 변수 wd 의값 Bing bing.com /search 변수 q 의값 Ask ask.com /web 변수 q 의값 AOL search.aol.com /search/ 변수 q 의값 Excite msxml.excite.com /results/ 경로 /Web/ 뒤에위치 Lycos Search.lycos.com 변수 query 의값 Alta vista altavista.com /search 변수 p 의값 MSN bing.com /search 변수 q 의값 Naver naver.com /search 변수 query 의값 Daum daum.net /search 변수 q 의값 Nate nate.com /search 변수 q 의값 forensicinsight.org Page 11 / 26

- 통합타임라인분석 - Time Zone 분석 - 검색어추출 - URL 인코딩분석 - 사용자행위분류 - 삭제로그정보복구 forensicinsight.org Page 12 / 26

URL 인코딩분석 URL 에서영어가아닌문자는모두인코딩됨 è URL 디코딩필요 ~!!! forensicinsight.org Page 13 / 26

URL 인코딩분석 기본적인 URL 인코딩방식 헥사코드로표현한후, 1 바이트단위로 % 문자를앞부분에추가 è %ED%8F%AC%EB%A0%8C%EC%8B%9D URL 인코딩방식분류 UTF-8 인코딩 ü 1~4 바이트까지사용, 1 바이트까지는 ASCII 와동일 EX) %ED%8F%AC%EB%A0%8C%EC%8B%9D è 포렌식 ü 전세계에서가장많이사용하는인코딩형식 ü 검색엔진 : www.google.co.kr, www.yahoo.co.kr, www.bing.com, www.ask.com 코드범위 UTF-16(UNICODE) 표현 UTF-8 표현설명 000000-00007F 000080-0007FF 00000000 0xxxxxxx 0xxxxxxx ASCII 와동일한범위 00000xxx xxxxxxxx 110xxxxx 10xxxxxx 첫바이트는 110 으로시작하고, 나머지바이트들은 10 으로시작함 000800-00FFFF xxxxxxxx xxxxxxxx 1110xxxx 10xxxxxx 10xxxxxx 첫바이트는 1110 으로시작하고, 나머지바이트들은 10 으로시작함 010000-10FFFF 110110yy yyxxxxxx 110111xx xxxxxxxx 11110zzz 10zzxxxx 10xxxxxx 10xxxxxx UTF-16 서러게이트쌍영역 (yyyy = zzzzz - 1). UTF-8 로표시된비트패턴은실제코드포인트와동일하다. forensicinsight.org Page 14 / 26

URL 인코딩분석 URL 인코딩방식분류 ( 계속 ) Unicode 인코딩 ü Unicode의 2바이트를 16진수혹은 10진수형식으로인코딩 è %uhhhh or %26%23< 십진수 >%3B 형식으로인코딩됨 EX) %26%2354252%3B%26%2347116%3B%26%2349885%3B è 포렌식 ü 검색엔진 : www.baidu.com 코드페이지인코딩 ü 각나라의코드페이지에따라인코딩하는방식 ü 한국어의경우, EUC-KR( 한글완성형 ) 코드표에따라 2바이트단위로인코딩됨 EX) %C6%F7%B7%BB%BD%C4 è 포렌식 ü 같은 HEX 값이라도코드페이지에따라의미하는문자가달라짐 è %C6%F7%B7%BB%BD%C4 è EUC-KR è 포렌식 è EUC-JP è 匂兄縦 è 사이트혹은국가별구분필요 ü 검색엔진 : www.nate.com, www.paran.com forensicinsight.org Page 15 / 26

- 통합타임라인분석 - Time Zone 분석 - 검색어추출 - URL 인코딩분석 - 사용자행위분류 - 삭제로그정보복구 forensicinsight.org Page 16 / 26

사용자행위분류 필요성 URL 정보만으로는사용자행위를바로파악이어려움 è 웹브라우저를통해직접웹사이트를방문필요 è 시간소모 ~ 분석효율성증가 è 분석시간단축 ü 수많은로그기록에서사용자행위흐름을한눈에파악가능 ü 조사자가찾고자하는사용자행위를빠르게검색 forensicinsight.org Page 17 / 26

사용자행위분류 분류방법 History URL은웹사이트제작자에의해결정됨 è URL의도메인과 Path에는해당웹페이지의특징과역할을나타내는키워드존재 키워드를기반으로사용자행위분류 ü 일반적인키워드 : mail, lecture, map, news ü 특수키워드 : facebook, twitter, è DB에저장된시그니처사용 정보획득다운로드구입인간관계업무엔터테이먼트 사용자행위 일반키워드및분류방법 검색 검색어추출이가능하면검색행위로분류 위키피디아 wikipedia 문서보기.doc(x),.ppt(x),.xls(x),.pdf,.txt 블로그 blog 교육 lecture, study, learn 지도 map 뉴스 news 날씨 weather 사전 dic, dictionary ftp://, download 쇼핑 shop, store 예약 reservation, ticket SNS DB 에저장된시그니처사용 (facebook.com, twitter.com...) 커뮤니티 forum, cafe, club, group, community 채팅 chat 메일 mail, email, e-mail 일정 calendar 클라우드 DB 에저장된시그니처사용 (docs.google.com, zoho, aws.amazon, racksace... ) 은행업무 bank 신청 apply, application 등록 register game, movie, music, cartoon, sport, radio, adult, porn, sex forensicinsight.org Page 18 / 26

- 통합타임라인분석 - Time Zone 분석 - 검색어추출 - URL 인코딩분석 - 사용자행위분류 - 삭제로그정보복구 forensicinsight.org Page 19 / 26

삭제된로그정보복구 대부분의웹브라우저들은로그삭제기능을가지고있음 è 웹브라우저포렌식조사과정을어렵게만듬 forensicinsight.org Page 20 / 26

삭제된로그정보복구 사용자정보삭제기능분류 : 해당파일의내용을 (0 으로혹은파일초기상태로 ) 파일삭제 : 해당파일을파일시스템에서삭제 삭제기능분류에따른복구가능여부 : 복구불가능 ü 유사정보를통한복구 EX) History 정보가되도 Session 정보가삭제되는경우가있음 è 복구한세션파일의정보를통해 History 정보의일부분을복구가능 파일삭제 ü 파일시스템관점에서삭제된파일을복구한후, 삭제된정보추출 ü 카빙기법을통해삭제된파일복구가능 forensicinsight.org Page 21 / 26

삭제된로그정보복구 각브라우저별로그정보삭제방식 IE Firefox 웹브라우저로그정보삭제방식 Chrome Safari Opera Cache History Cookie Download Cache History Cookie Download Cache History Cookie Download Cache History Cookie Download Cache History Cookie Download index.dat 파일의데이터임시인터넷파일삭제 index.dat 파일의데이터일간 / 주간 index.dat 파일삭제 index.dat 파일의데이터 Cookie 텍스트파일삭제 IE 8 이하는다운로드정보없음 IE 9 다운로드정보의레코드는삭제되지않음 ( 비활성화 ) 파일삭제 파일삭제 forensicinsight.org Page 22 / 26

삭제된로그정보복구 각브라우저별삭제된로그정보에대한복구방식 IE 웹브라우저로그정보 Recovery Method Firefox Chrome Safari Opera Cache History Cookie 삭제된임시인터넷파일복구 삭제된일간 / 주간 index.dat 파일복구비할당영역에서일간 / 주간 index.dat 파일카빙 삭제된 Cookie 텍스트파일복구 Download IE 9 다운로드정보의레코드는삭제되지않음 ( 비활성화 ) Cache History Cookie Download Cache History Cookie Download Cache History Cookie Download Cache History Cookie Download N/A 삭제된 Session 파일복구비할당영역에서 session 파일카빙 N/A N/A 삭제된 Cache 파일복구 삭제된월간 History 파일복구 N/A N/A N/A 삭제된 Session 파일복구 삭제된 Cookie 파일복구 N/A N/A 삭제된 Session 파일복구 N/A N/A forensicinsight.org Page 23 / 26

결론 forensicinsight.org Page 24 / 26

결론 단순히로그파일파싱이전부가아니다 ~!! 웹브라우저로그분석에서고려해야할사항 여러웹브라우저에대한통합타임라인분석 Time Zone 적용 검색어추출 URL 인코딩 사용자행위분류 삭제된로그정보에대한복구 분석시, 위사항을고려및지원해주는도구사용 forensicinsight.org Page 25 / 26

질문및답변 forensicinsight.org Page 26 / 26

2024 © docsplayer.org 개인정보보호 | 약관 | 지원