[포렌식] Internet Explorer 10 아티팩트

≫ 웹 아티팩트 분석          

인터넷 익스플로러는 10버전부터 index.dat이 아닌 WebCacheV01.dat에 그 사용기록을 저장한다.

이는 윈도우10에서 처음 사용된 Microsoft Edge 브라우저도 같다.

다음 사진은 IE 버전 별로 Cache, History, Cookie, download 기록이 저장되는 경로이다.

 

그런데 인터넷 익스플로러는 10버전부터 WebCacheV*.dat에 모든 기록을 저장한다.

 

WebCacheV01.dat이란, 

기존의 index.dat 파일의 구성과 달리 ESE (Extensible Storage Engine) Database를 기반으로 구성하며,

history, cache, cookie 등 여러 항목에 대한 정보들을 하나의 파일로 통합 관리하는 방식이다.

 

* ESE Database

http://moaistory.blogspot.kr/2016/08/digital-forensic-investigation-of-ese_5.html

 

특징은 다음과 같다.

- caching system을 바탕으로 높은 성능, 신뢰성, 안정성 제공

- 1MB ~ 1TB파일까지의 다양한 데이터 사이즈 지원

 

분석을 하기 위한 참고 블로그이다.

- 분석 도구 : IE10 Analyzer (http://moaistory.blogspot.com/2016/08/ie10analyzer.html)

- 분석 예시 (https://ccibomb.tistory.com/427)

 

AppData/Local/Microsoft/Windows/Webcache/ 경로에 WebCacheV01.dat가 저장되어 있다.

WebCacheV01.dat

 

≫ WebCacheV01.dat 분석

먼저 IE10 Analyzer로 dat파일을 열어주고, history, download, cache, cookie파일을 찾아보자.

ie10analyzer

 

① Web History

: 히스토리는 폴더에서도 찾아볼 수 있고, WebCacheV01.dat에도 존재한다.

 

(1) %UserProfile%\AppData\Local\Microsoft\Windows\History

“다음”을 검색해보고 히스토리 파일을 찾아보자.

 

히스토리 파일을 확인할 수 있다.

 

 

 

 

(2) WebCacheV01.dat

 

② Cache

 

③ Cookie

 

④ Download File List

 

https://moaimoai.tistory.com/45https://gflow-security.tistory.com/entry/Window-Web-browser-Analysis1

http://portable-forensics.blogspot.com/2014/11/web-artifact.html

file:///C:/Users/%EC%A1%B0%EC%88%98%EA%B2%BD/Downloads/8%EC%A3%BC%EC%B0%A8%20%ED%8C%80%EB%AF%B8%EC%85%98%203%EC%A3%BC%EA%B3%BC%EC%A0%9C%20%EC%99%84%EC%84%B1%EB%B3%B8.pdf

http://www.igloosec.co.kr/BLOG_Microsoft%20Edge%20Web%20Browser%20Forensics?searchItem=&searchWord=&bbsCateId=0&gotoPage=8

http://portable-forensics.blogspot.com/2014/11/web-artifact.html

file:///C:/Users/%EC%A1%B0%EC%88%98%EA%B2%BD/DOCUME~1/%EC%B9%B4%EC%B9%B4%EC%98%A4~1/%EC%9D%B8%EC%BD%94_~1.PDF

https://digital-forensics.sans.org/media/volatility-memory-forensics-cheat-sheet.pdf