PowerPoint Presentation

Similar documents
PowerPoint Presentation

SRC PLUS 제어기 MANUAL

MySQL-.. 1

목차 1. 웹브라우저로그분석 : 심화과정 통합타임라인분석 Time Zone 분석 검색어추출 URL 인코딩분석 사용자행위분류 삭제로그정보복구 2. 결론 forensicinsight.org Page 2 / 26

슬라이드 1

Secure Programming Lecture1 : Introduction

0. 들어가기 전

PowerPoint Presentation

Orcad Capture 9.x

디지털포렌식학회 논문양식

-. Data Field 의, 개수, data 등으로구성되며, 각 에따라구성이달라집니다. -. Data 모든 의 data는 2byte로구성됩니다. Data Type는 Integer, Float형에따라다르게처리됩니다. ( 부호가없는 data 0~65535 까지부호가있는

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

PowerPoint 프레젠테이션

DocsPin_Korean.pages

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

Remote UI Guide

Deok9_PE Structure

T100MD+

강의 개요

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

화판_미용성형시술 정보집.0305

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

SMB_ICMP_UDP(huichang).PDF

Microsoft PowerPoint - 알고리즘_5주차_1차시.pptx

Microsoft PowerPoint - o8.pptx

1217 WebTrafMon II

제20회_해킹방지워크샵_(이재석)

PowerPoint 프레젠테이션

6강.hwp

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

MPLAB C18 C

PowerPoint Presentation

서현수

BMP 파일 처리

The Pocket Guide to TCP/IP Sockets: C Version

T/F 월간 보고

Interstage5 SOAP서비스 설정 가이드

TCP.IP.ppt

Microsoft Word doc

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

별지 제10호 서식

게시판 스팸 실시간 차단 시스템

Dropbox Forensics

PowerPoint 프레젠테이션

Cache_cny.ppt [읽기 전용]

User's Guide Manual

KISA-GD

슬라이드 1

yessign Version 3.1 (yessign). ccopyright 2009 yessign ALL RIGHTS RESERVED

Microsoft Word - FS_ZigBee_Manual_V1.3.docx

The_IDA_Pro_Book

untitled


초보자를 위한 분산 캐시 활용 전략

Dialog Box 실행파일을 Web에 포함시키는 방법

3ÆÄÆ®-14

thesis-shk

Tablespace On-Offline 테이블스페이스 온라인/오프라인

Mango220 Android How to compile and Transfer image to Target


Subnet Address Internet Network G Network Network class B networ

- - yessign Version 3.5 (yessign)

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

CD-RW_Advanced.PDF

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

목 차 DEXTUpload Pro 소개 시스템 요구 사항 기능 및 특징 시스템 구성도 벤치마킹 적용 효과 유지보수 안내 담당자 안내

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

휠세미나3 ver0.4

thesis

Microsoft PowerPoint - 06-IPAddress [호환 모드]

C# Programming Guide - Types

Multi Channel Analysis. Multi Channel Analytics :!! - (Ad network ) Report! -! -!. Valuepotion Multi Channel Analytics! (1) Install! (2) 3 (4 ~ 6 Page


UDP Flooding Attack 공격과 방어

untitled

2015 경제ㆍ재정수첩

Intra_DW_Ch4.PDF

MAX+plus II Getting Started - 무작정따라하기

3장

<4D F736F F F696E74202D20B8B6C0CCC5A9B7CEC7C1B7CEBCBCBCAD202839C1D6C2F7207E203135C1D6C2F >

Supplier_Connect_User_Guide_Korean

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

슬라이드 1

목 차

Secure Programming Lecture1 : Introduction

PowerPoint Template

Network seminar.key

YUM(Yellowdog Updater,Modified) : RPM 패키지가저장된서버 ( 저장소 ) 로부터원하는패키지를자동으로설치한다. : YUM 도구는 RPM 의패키지의존성문제를해결

Windows Server 2012

hd1300_k_v1r2_Final_.PDF

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

VOL /2 Technical SmartPlant Materials - Document Management SmartPlant Materials에서 기본적인 Document를 관리하고자 할 때 필요한 세팅, 파일 업로드 방법 그리고 Path Type인 Ph

untitled

Microsoft PowerPoint - ch09 - 연결형리스트, Stack, Queue와 응용 pm0100

(SW3704) Gingerbread Source Build & Working Guide

디지털포렌식학회 논문양식

Transcription:

FORENSIC INSIGHT SEMINAR Web Browser Forensics : Part2 blueangel blueangel1275@gmail.com http://blueangel-forensic-note.tistory.com

개요 1. Firefox 로그분석 2. Chrome 로그분석 3. Safari 로그분석 4. Opera 로그분석 5. 분석도구 forensicinsight.org Page 2 / 88

Firefox 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 3 / 88

Firefox 로그분석 Cache 정보분석 파일구성 Cache Map File : _CACHE_MAP_ Cache Block Files : _CACHE_00X_ Separate Cache Data files forensicinsight.org Page 4 / 88

Firefox 로그분석 Cache 정보분석 Cache Map File 구조 32 개의 Bucket 로이루어짐 한개의 Bucket 은 256 개의 Record 를포함 총 8,192 개의 Record 저장가능 하나의 Record(16byte) 는 Cache 데이터의맵핑정보를담고있음 Hash Number(4byte) Eviction Rank(4byte) Data location(4byte) Metadata Location(4byte) forensicinsight.org Page 5 / 88

Firefox 로그분석 Cache 정보분석 Cache Map File Record 구조 Hash Number Cache 파일의이름으로사용 Data location, Metadata Location 최상위바이트의하위 3비트값이 0이면 Separate Cache 파일에저장 1,2,3이면 Cache Block 파일에저장 Eviction Rank Unkwon forensicinsight.org Page 6 / 88

Firefox 로그분석 Cache 정보분석 Separate Cache Data Files Cache Content과 Matadata의크기가큰경우사용 Cache Data Files의이름 <HASH NUMBER><TYPE><GENERATION NUMBER> HASH NUMBER Cache Map file의 Hash Number TYPE d: Cache Content m: Cache metadata GENERATION NUMBER Data location, Metadata Location 최하위 1바이트값 Ex) F1FD0B04d01 forensicinsight.org Page 7 / 88

Firefox 로그분석 Cache 정보분석 Three Cache Block Files 데이터의시작 Data location, Metadata Location 의하위 3 바이트값 데이터할당크기 ( 블록단위 ) ((Data location, Metadata Location) & 0x03000000) >> 24 ) + 1 블록사이즈 Cache Block Files 의파일이름에따라다름 _CACHE_001_ ->256 byte (0x100) _CACHE_002_ ->512 byte (0x400) _CACHE_003 _->1024 byte (0x1000) forensicinsight.org Page 8 / 88

Firefox 로그분석 Cache 정보분석 Separate Cache Data Files 내용확인 Data Location 8(1000): 하위 2 비트의값이 0 이므로 Separate Cache Data File 에저장 파일이름 : 3A390709d01 MetaData Location 9(1001): 하위 2 비트의값이 1 이므로 _CACHE_001_ 에저장 offset: 0x000B94*0x100+0x1000 = 0x000BA400 Hash number Eviction Rank Data Location MetaData Location forensicinsight.org Page 9 / 88

Firefox 로그분석 Cache 정보분석 Separate Cache Data Files 내용확인 _CACHE_001_ 파일의 offset 0x000BA400 URL 접속시간 변경시간 파일크기 Content Type Cache 폴더의 3A390709d01 파일의확장자를 gif 로변경하면내용확인가능 forensicinsight.org Page 10 / 88

Firefox 로그분석 Cache 정보분석 Three Cache Block File 내용확인 Data Location 9(1001): 하위 2 비트의값이 1 이므로 _CACHE_001_ 에저장 offset: 0x000B33*0x100+0x1000 = 0x000B4300 MetaData Location 9(1001): 하위 2 비트의값이 1 이므로 _CACHE_001_ 에저장 offset: 0x000B36*0x100+0x1000 = 0x000B4600 Hash number Eviction Rank Data Location MetaData Location forensicinsight.org Page 11 / 88

Firefox 로그분석 Cache 정보분석 Three Cache Block File 내용확인 Content Data Content Metadata URL 접속시간변경시간파일크기 Content Type forensicinsight.org Page 12 / 88

Firefox 로그분석 Cache 정보분석 데이터크기 Data 의크기가 85 바이트 Content Data 의 85 바이트를 setup_myinfo.gif 로저장 forensicinsight.org Page 13 / 88

Firefox 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 14 / 88

Firefox 로그분석 History 정보분석 로그파일명 : places.sqlite 파일형식 SQLite 데이터베이스파일형식 주요테이블 moz_places : 방문한 URL 정보저장 moz_historyvisits : 실제방문기록저장, place_id 값을통해 moz_place 의 url 참조 저장정보 URL Title 방문횟수 방문타입 (1 : URL 타이핑접속, 0 : 링크접속 ) 방문시간 (1970년 1월 1일 00:00:00 기준경과된마이크로초 ) forensicinsight.org Page 15 / 88

Firefox 로그분석 History 정보분석 moz_places, moz_historyvisits 테이블구조 forensicinsight.org Page 16 / 88

Firefox 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 17 / 88

Firefox 로그분석 Cookie 정보분석 로그파일명 : cookies.sqlite 파일형식 SQLite 데이터베이스파일형식 주요테이블 moz_cookies : 쿠키데이터저장 저장정보 호스트, 경로 변수, 값 방문횟수 마지막접근시간 (1970년 1월 1일 00:00:00 기준경과된마이크로초 ) 쿠키만료시간 (1970년 1월 1일 00:00:00 기준경과된마이크로초 ) issecure, ishttponly forensicinsight.org Page 18 / 88

Firefox 로그분석 Cookie 정보분석 moz_cookies 테이블구조 forensicinsight.org Page 19 / 88

Firefox 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 20 / 88

Firefox 로그분석 Download 정보분석 로그파일명 : downloads.sqlite 파일형식 SQLite 데이터베이스파일형식 주요테이블 moz_downloads : 쿠키데이터저장 저장정보 소스 URL 다운받은 Local 경로 다운로드시간 (1970년 1월 1일 00:00:00 기준경과된마이크로초 ) : 시작 / 종료시간 다운로드받은크기, 총다운로드크기 forensicinsight.org Page 21 / 88

Firefox 로그분석 Download 정보분석 moz_downloads 테이블구조 forensicinsight.org Page 22 / 88

Chrome 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 23 / 88

Chrome 로그분석 Cache 정보분석 전체파일구성 data_0, data_1, data_2, data_3, 데이터파일 forensicinsight.org Page 24 / 88

Chrome 로그분석 Cache 정보분석 파일구성 data_0 인덱스레코드가저장됨 ( URL 레코드의위치정보저장 ) 오프셋 0x2000 부터 0x24 바이트단위로저장 data_1, data_2, data_3 URL(URL 레코드에저장됨 ), 메타데이터, Cache 데이터저장 오프셋 0x2000 부터블록단위로저장 블록단위 data_1: 0x100 data_2: 0x400 data_3: 0x1000 forensicinsight.org Page 25 / 88

Chrome 로그분석 Cache 정보분석 data_0 에서의인덱스레코드구조 HEX 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 00 10 URL 레코드위치정보 20 최초 2 바이트 블록의인덱스 0x0001 이면두번째블록에 URL 레코드가저장되어있음 3 번째바이트 파일의인덱스 0x01 이면 data_1 파일에 URL 레코드가저장되어있음 URL 레코드위치 블록인덱스 * 블록의단위 + 0x2000 forensicinsight.org Page 26 / 88

Chrome 로그분석 Cache 정보분석 data_n(n=1, 2, 3) 에서의 URL 레코드구조 HEX 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 00 URL 의크기 10 메타데이터의크기 데이터의크기 메타데이터의위치및이름 URL의 20 데이터의위치및이름 시작 위치 ( 메타 ) 데이터의위치및이름 4번째바이트에따라저장위치결정 0x80이면별도의파일로저장나머지 3바이트가파일의이름 0x80이아니면 URL 레코드위치 와같은방식으로계산 forensicinsight.org Page 27 / 88

Chrome 로그분석 Cache 정보분석 Cache 피일내용확인 1 : data_0 의인덱스레코드에서 URL 레코드위치를참조 data_0 0x0002 * 0x100 + 0x2000 = 0x2200 data_1 URL 의크기 forensicinsight.org Page 28 / 88

Chrome 로그분석 Cache 정보분석 Cache 피일내용확인 2 : data_1 의 URL 레코드에서메타데이터의위치를참조 data_1 메타데이터의크기 메타데이터의위치 :data_1 0x0003 * 0x 100 + 0x2000 = 0x2300 data_1 forensicinsight.org Page 29 / 88

Chrome 로그분석 Cache 정보분석 Cache 피일내용확인 3 : data_1 의 URL 레코드에서데이터의위치를참조 data_1 데이터의크기 데이터파일이름 :f_000001 확장자변경 forensicinsight.org Page 30 / 88

Chrome 로그분석 Cache 정보분석 Cache 데이터가 Cache 파일 (data_n) 안에있는경우 data_1 데이터의크기 메타데이터의위치 :data_3 오프셋 : 0x0000*0x1000+0x2000 = 0x2000 Data_3 forensicinsight.org Page 31 / 88

Chrome 로그분석 Cache 정보분석 최신버전의 URL 레코드구조 HEX 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 00 10 20 URL의크기 메타데이터의크기 데이터의크기 30 메타데이터의위치데이터의위치및이름 40 50 URL의시작위치 ( 메타 ) 데이터의위치및이름계산방식은기존과동일 forensicinsight.org Page 32 / 88

Chrome 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 33 / 88

Chrome 로그분석 History 정보분석 로그파일명 : History 파일형식 : SQLite 데이터베이스파일형식 주요테이블 urls 테이블 방문한 url 정보저장, 같은 url 은중복저장안됨, 중복방문시마지막접속시간저장 visits 테이블 실제방문정보저장, 실제방문시저장되는 url 정보는 urls 테이블에서참조 저장정보 URL Title 방문횟수 방문타입 (1 : URL 타이핑접속, 0 : 링크접속 ) 방문시간 (1601년 1월 1일 00:00:00 기준경과된마이크로초 ) forensicinsight.org Page 34 / 88

Chrome 로그분석 History 정보분석 urls, visits 테이블구조 forensicinsight.org Page 35 / 88

Chrome 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 36 / 88

Chrome 로그분석 Cookie 정보분석 로그파일명 : Cookies 파일형식 : SQLite 데이터베이스파일형식 주요테이블 : cookies 테이블 저장정보 호스트, 경로 변수, 값 방문횟수 마지막접근시간 (1601년 1월 1일 00:00:00 기준경과된마이크로초 ) 쿠키만료시간 (1601년 1월 1일 00:00:00 기준경과된마이크로초 ) issecure, ishttponly forensicinsight.org Page 37 / 88

Chrome 로그분석 Cookie 정보분석 cookies 테이블구조 forensicinsight.org Page 38 / 88

Chrome 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 39 / 88

Chrome 로그분석 Download 정보분석 로그파일명 : History 파일형식 : SQLite 데이터베이스파일형식 주요테이블 : downloads 테이블 저장정보 소스 URL 다운받은 Local 경로 다운로드시간 (1601년 1월 1일 00:00:00 기준경과된마이크로초 ) : 시작 / 종료시간 총다운로드크기 다운로드상태 : 성공 (1), 실패 (0) forensicinsight.org Page 40 / 88

Chrome 로그분석 Download 정보분석 downloads 테이블 forensicinsight.org Page 41 / 88

Safari 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 42 / 88

Safari 로그분석 Cache 정보분석 로그파일명 : Cache.db 파일형식 SQLite 데이터베이스파일형식 주요테이블 cfurl_cache_response : 캐시인덱스정보저장 cfurl_cache_blob_data : 캐시데이터저장 저장정보 URL 다운로드시간 (2001년 1월 1일 00:00:00 기준경과된초 ) 캐시데이터 forensicinsight.org Page 43 / 88

Safari 로그분석 Cache 정보분석 테이블구조 cfurl_cache_response 테이블 cfurl_cache_blob_data 테이블 forensicinsight.org Page 44 / 88

Safari 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 45 / 88

Safari 로그분석 History 정보분석 로그파일명 : History.plist 파일형식 Binary Plist 저장정보 URL Title 방문횟수 방문시간 (2001 년 1 월 1 일 00:00:00 기준경과된초 forensicinsight.org Page 46 / 88

Safari 로그분석 History 정보분석 History.plist 구조 ( plisteditor Pro 2.0 사용 ) forensicinsight.org Page 47 / 88

Safari 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 48 / 88

Safari 로그분석 Cookie 정보분석 로그파일명 : Cookies.plist 파일형식 Text Plist 저장정보 도메인, 경로 이름, 값 생성시간 (2001 년 1 월 1 일 00:00:00 기준경과된초 ) 만료시간텍스트형식 HttpOnly 옵션 forensicinsight.org Page 49 / 88

Safari 로그분석 Cookie 정보분석 Cookies.plist 구조 forensicinsight.org Page 50 / 88

Safari 로그분석 Cookie 정보분석 : 5.1 버전부터새로운파일포멧사용 (Cookie.binarycookie) Cookie.binarycookie 파일전체구조 Signature : COOK Page 단위로구성됨 Page 는가변길이 Page 사이즈를배열형식으로따로저장 Page 사이즈배열이끝나면실제 Page 들이위치 forensicinsight.org Page 51 / 88

Safari 로그분석 Cookie 정보분석 : 5.1 버전부터새로운파일포멧사용 (Cookie.binarycookie) Page 구조 각쿠키정보는쿠키레코드에저장됨 쿠키레코드크기는가변 각쿠키레코드의위치는배열형식으로저장됨 forensicinsight.org Page 52 / 88

Safari 로그분석 Cookie 정보분석 : 5.1 버전부터새로운파일포멧사용 (Cookie.binarycookie) Cookie 레코드구조 URL, Path, Name, Value 값은아스키값형태로저장됨 Create Date, Expiration Date 64 bit Double Mac Absolute Time(GMT)??? 이포멧에대해아시는분은메일로알려주시면감사하겠습니다. ㅠㅠ forensicinsight.org Page 53 / 88

Safari 로그분석 - Cache 정보분석 - History 정보분석 - Cookie 정보분석 - Download 정보분석 forensicinsight.org Page 54 / 88

Safari 로그분석 Download 정보분석 로그파일명 : Downloads.plist 파일형식 Binary Plist 저장정보 소스 URL 다운로드경로 다운로드파일크기 forensicinsight.org Page 55 / 88

Safari 로그분석 Download 정보분석 Downloads.plist 구조 forensicinsight.org Page 56 / 88

Opera 로그분석 - Generic Binary Format - Cache 정보분석 - Download 정보분석 - Cookie 정보분석 - History 정보분석 forensicinsight.org Page 57 / 88

Opera 로그분석 Generic Binary Format( 조금복잡하니까졸지마세요 ㅠㅠ ) Opera 버전 5.0 부터사용 버전 3.x 와는호환안됨, 버전 4.x 와는호환가능 일련의길이정보를가진레코드들의집합 대상파일 dcache4.url : 캐시파일 cookies4.dat : 쿠키파일 download.dat : 다운로드목록파일 forensicinsight.org Page 58 / 88

Opera 로그분석 Generic Binary Format 데이터타입 정수정보 빅엔디안타입으로저장 파싱시, 리틀엔디안으로변환필요 EX) 레코드길이정보, 시간정보, 사이즈정보 시간정보 time_t 타입사용 1970년 1월 1일 00:00:00 기준으로현재까지경과된초 빅엔디안타입으로저장 문자정보 기본적으로영어는아스키타입으로저장 그외다국어일경우 UTF-8 로인코딩 forensicinsight.org Page 59 / 88

Opera 로그분석 Generic Binary Format 파일구성 헤더 + 레코드집합 헤더구성 파일버전 (4byte) : 어플리케이션보다파일버전이높으면못읽음 하위 12bit : minor 버전 상위 30bit : major 버전 애플리케이션버전 (4byte) 0x00002000 : 쿠키파일 0x00020000 : 캐시, 다운로드목록파일 레코드의 Tag_ID 크기 (2byte) 레코드의데이터크기필드의크기 (2byte) forensicinsight.org Page 60 / 88

Opera 로그분석 Generic Binary Format 파일구성 ( 계속 ) 레코드구성 Tag_ID(Default : 1byte) 레코드에저장되는데이터의타입정보저장 Tag_ID 종류» 일반레코드 Tag_ID Tag_ID+ 길이정보 + 데이터구성» Boolean 플래그 Tag_ID 최상위비트가 (MSB) 의 1 과 0 으로참, 거짓구분 Tag_ID 만존재 Data 길이 (Default : 2byte) Data Tag_ID(1byte) Data 길이 (2byte) Data forensicinsight.org Page 61 / 88

Opera 로그분석 Generic Binary Format 파일구성 ( 계속 ) 레코드종류 Entry 레코드 해당파일의정보단위 데이터레코드들을포함 Tag_ID+ 길이정보 + 데이터레코드집합 Data 레코드 일반적으로 Entry 레코드의하위레코드, 단독으로도존재할수있음 실제데이터저장 서브데이터레코드를포함하는레코드도있음 ( ex: HTTP 레코드 ) Sub_Data 레코드 데이터레코드의하위레코드 forensicinsight.org Page 62 / 88

Opera 로그분석 Generic Binary Format Tag_ID 정보 Entry Tag_ID File Tag id Cache Cookies Download List 0x01 0x01 0x41 일반데이터 Tag_ID Tag ID Contents Meaning 0x03 string URL 0x04 time_t 마지막방문시간 (0x0b MSB_VALUE) flag The URL is a result of a form query 0x22 record Contains the name and last visited time of relative link in the document. May repeat forensicinsight.org Page 63 / 88

Opera 로그분석 Generic Binary Format Tag_ID 정보 ( 계속 ) 캐시, 다운로드혼용데이터 Tag_ID Tag ID Contents Meaning 0x05 time_t Localtime, when the file was last loaded, not GMT 0x07 uint8 Status of load: 2 Loaded 4 Loading aborted 5 Loading failed 0x08 uint32 Content size 0x09 string MIME type of content 0x0A string Character set of content (0x0C MSB_VALUE) flag 다운로드데이터 Tag_ID File is downloaded and stored locally on user's disk, and is not part of the disk cache d irectory 0x0D string Name of file (cache files: only local to cache directory) (0x0F MSB_VALUE) flag Always check if modified 0x10 record Contains the HTTP protocol specific information Tag ID Contents Meaning 0x28 time_t Identifies the time when the loading of the last/previous segment of the downloaded file started. 0x29 time_t Identifies the time when the loading of the last/previous segment of the downloaded file was stopped. 0x2A uint32 How many bytes were in the previous segement of the file being downloaded. If the time the loading ended is not known, this value will be assumed to be zero (0) and the download speed set to zero(unknown). forensicinsight.org Page 64 / 88

Opera 로그분석 Generic Binary Format Tag_ID 정보 ( 계속 ) HTTP 레코드서브 Tag_ID Tag ID Contents Meaning 0x15 string HTTP date header 0x16 time_t Expiry date 0x17 string Last modified date 0x18 string MIME type of document 0x19 string Entity tag 0x1A string Moved to URL (Location header) 0x1B string Response line text 0x1C uint32 Response code 0x1D string Refresh URL 0x1E uint32 Refresh delta time 0x1F string Suggested file name 0x20 string Content Encodings 0x21 string Content Location 0x25 0x26 uint32 uint32 (0x30 MSB_VALUE) flag Reserved for future use (0x31 MSB_VALUE) Flag Reserved for future use Together with tag 0x0026 (both must be present) this identifies the User Agent string last used to load the resource. This value identifies the User Agent string. This value is used internally, and should not be modified. Together with tag 0x0025 (both must be present) this identifies the User Agent string last used to load the resource. This value identifies the User Agent sub version. This value is used internally, and should not be modified. forensicinsight.org Page 65 / 88

Opera 로그분석 Generic Binary Format 기본구성 Entry 레코드들의연속적인집합 Entry 레코드안에 Data 레코드들이연속적으로구성되어있음 특정 Data 레코드 (EX: HTTP Data 레코드 ) 들은 Sub Data 레코드들을포함함 forensicinsight.org Page 66 / 88

Opera 로그분석 - Generic Binary Format - Cache 정보분석 - Download 정보분석 - Cookie 정보분석 - History 정보분석 forensicinsight.org Page 67 / 88

Opera 로그분석 Cache 정보분석 ( 외부저장 ) 헤더 Entry 레코드 Data 레코드 Sub_Data 레코드 Entry Tag_ID Entry 길이 Data Tag_ID Data 길이 Sub_Data Tag_ID Sub_Data 길이 Boolean Flag Data forensicinsight.org Page 68 / 88

Opera 로그분석 Cache 정보분석 ( 내부저장 ) 데이터 Tag_ID 가 0x50 인레코드는데이터로실제캐시데이터를저장함 데이터 Tag_ID 가 0X0D 인레코드는데이터로 캐시데이터가저장된파일경로명 을저장함 두레코드중하나만 Entry 레코드에존재 forensicinsight.org Page 69 / 88

Opera 로그분석 - Generic Binary Format - Cache 정보분석 - Download 정보분석 - Cookie 정보분석 - History 정보분석 forensicinsight.org Page 70 / 88

Opera 로그분석 Download 정보분석 ( 헤더 Entry 레코드 Data 레코드 Sub_Data 레코드 Entry Tag_ID Entry 길이 Data Tag_ID Data 길이 Sub_Data Tag_ID Sub_Data 길이 Boolean Flag Data forensicinsight.org Page 71 / 88

Opera 로그분석 - Generic Binary Format - Cache 정보분석 - Download 정보분석 - Cookie 정보분석 - History 정보분석 forensicinsight.org Page 72 / 88

Opera 로그분석 Cookie 정보분석 기본구성 Entry 레코드들의연속적인집합 Entry 레코드분류 Domain Component : Tag ID 0x01» 1/2/3 단계로분류됨 (ex: www.opera.com com:1 단계, opera:2 단계, www:1 단계 )» IP 로만이루어진 Domian 일경우 1 단계 Domain 으로만구성됨 (ex: 211.239.167.20)» 그외도메인들은 1~2 단계혹은 1~3 단계로구성됨 Path Component : Tag ID 0x02, 존재하지않는경우도있음 Cookie Component : Tag ID 0x03 구성예 : www.opera.com/verify ["com" Domain component] ["opera" Domain component] ["www" Domain component] [ verify Path component] [Cookie component] [Path component terminator] [end of domain flag ("www")] [end of domain flag ("opera")] [end of domain flag ("com")] // 1 단계 Domain component // 2 단계 Domain component // 3 단계 Domain component forensicinsight.org Page 73 / 88

Opera 로그분석 Cookie 정보분석 기본구성 ( 계속 ) Cookie Component 안에 Data 레코드들이연속적으로구성되어있음 1 단계 Domain Component 아래여러개의 2 단계 Domain Component 가올수있음 2 단계 Domain Component 아래여러개의 3 단계 Domain Component 가올수있음 Path Component 는 1/2/3 단계 Domain Component 중어느 Component 아래에도올수있 음 1/2/3 단계 Domain Component 와 Path Component 가결합되어 host 이름정보를이루며그 아래에있는 Cookie 정보들은동일한 host 이름을가짐 forensicinsight.org Page 74 / 88

Opera 로그분석 Cookie 정보분석 Tag_ID 정보 Entry Tag_ID Tag id Component 0x01 0x02 0x03 Domain Component Path Component Cookie Component 데이터 Tag_ID Tag ID Contents Meaning 0x1E string Domain 정보 0x1D string Path 정보 0x10 string 쿠키이름 0x11 string 쿠키값 0x12 time_t 만료시간 0x13 time_t 마지막접근시간 0x28?? forensicinsight.org Page 75 / 88

Opera 로그분석 Cookie 정보분석 Tag_ID 정보 ( 계속 ) Component Terminator 0x84 0x85 Tag id Terminator Domain Component Terminator Path Component Terminator forensicinsight.org Page 76 / 88

Opera 로그분석 Cookie 정보분석 (cookies4.dat 파일분석 ) 01 Domain Component 02 Path Component 03 Cookie Component Component 길이 Data Tag_ID Data 길이 85 Path Component Terminator 84 Domain Component Terminator Boolean Flag Data forensicinsight.org Page 77 / 88

Opera 로그분석 - Generic Binary Format - Cache 정보분석 - Download 정보분석 - Cookie 정보분석 - History 정보분석 forensicinsight.org Page 78 / 88

Opera 로그분석 History 정보분석 기본구성 헤더파일없음 레코드로만구성 레코드구성 Title : UTF-8 인코딩 URL : ASCII 방문시간 : 1970년 1월 1일 00:00:00 부터지금까지의경과된초 ( time_t ) 레코드 end signature : -1( 2D 31 ) 구분자 : 0x0A forensicinsight.org Page 79 / 88

Opera 로그분석 History 정보분석 (global_history.dat 파일분석 ) Title URL 방문시간 End Signature 구분자 forensicinsight.org Page 80 / 88

분석도구 - Firefox 로그분석도구 - Chrome 로그분석도구 - Safari 로그분석도구 - Opera 로그분석도구 - WEFA forensicinsight.org Page 81 / 88

분석도구 Firefox 로그분석도구 Nirsoft : http://www.nirsoft.net/web_browser_tools.html MozillaCacheView : Cache 분석 MozillaHistoryView : History 분석 MozillaCookieView : Cookie 분석 FirefoxDownloadsView : Download List 분석 forensicinsight.org Page 82 / 88

분석도구 Chrome 로그분석도구 Nirsoft : http://www.nirsoft.net/web_browser_tools.html ChromeCacheView : Cache 분석 ChromeHistoryView : History 분석 ChromeForensics : http://www.woanware.co.uk/?page_id=70 History, Cookie, Download List 분석 ( 추가적으로자동완성, Favicons, Thumbnails) forensicinsight.org Page 83 / 88

분석도구 Safari 로그분석도구 Nirsoft : http://www.nirsoft.net/web_browser_tools.html SafariCacheView : Cache 분석 SafariHistoryView : History 분석 forensicinsight.org Page 84 / 88

분석도구 Opera 분석도구 Nirsoft : http://www.nirsoft.net/web_browser_tools.html OperaCacheView : Cache 분석 forensicinsight.org Page 85 / 88

분석도구 WEFA(Web Browser Forensic Analyzer 지원브라우저 : Internet Explorer, Firefox, Chrome, Safari, Opera 분석대상정보 Cache History Cookie(Safari 5.1 Cookie 제외 ) Download List Freeware Download http://www.4n6tech.com/skin_kr/images/wefa_v1.2_-_freeware.zip forensicinsight.org Page 86 / 88

결론 웹브라우저로그파일구조분석의필요성? 웹브라우저로그정보분석의기본배경지식 경우에따라직접수동분석이가능 남이만든분석도구는못믿겠다!!! or 해당로그를분석해주는도구가없을때 로그파일지식을통해직접파싱도구개발 기존도구가잘파싱하지못한다면? 웹브라우저로그포멧은버전업을하면서조금씩바뀌는경우가많음 구글링을통해새로운버전의포멧정보를검색 or 기존포멧을토대로직접분석해볼필 요성이있음 로그파일분석할때, 유의사항 ~!! 각브라우저별서로다른시간포멧을가짐 각시간포멧에맞추어서계산할필요성이있음 해당시간정보가 GMT 인지로컬타임인지구분필요 인코딩된정보 다국어의경우, URL 인코딩되어그대로저장되는경우가많음 인코딩방식에따른디코딩 보통은거의대부분 UTF-8 인코딩, 경우에따라유니코드인코딩혹은코드페이지인코딩 forensicinsight.org Page 87 / 88

질문및답변 forensicinsight.org Page 88 / 88