방문한 웹 사이트 기록 분석하는 방법 (Web Artifact)

웹 아티팩트 (Web Artifact)

       :  사용자로 인해 웹 어플리케이션과 웹 브라우저가 통신하면서 생성되는 기록(흔적).

 

 

 

1) 웹 히스토리 (Web History)

- 웹 사이트 방문 시 웹 사이트 정보를 분류해 저장.

- URL, 접속 시간, 접속 횟수, 페이지 제목 등의 정보 제공.

 

2) 웹 캐시 (Cache)

- 웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터.

- 기존에 방문했던 웹 사이트를 재방문 할 때 변경되지 않은 정보는 다시 다운받지 않고 웹 캐시에서 로딩하는 방식.

- 캐시파일 정보(저장 시간, 파일명, 타입, 크기, 경로), 이미지, 텍스트, HTML, XML, 스크립트 파일 등의

  웹 페이지를 표현하기 위한 다양한 데이터들을 포함.

 

3) 웹 쿠키 (Cookie)

- HTTP 통신에서 접속상태 유지하도록 사용자 정보를 잠시 저장해두는 임시 저장소.

- 정보를 사용자 시스템에 저장하므로 웹 히스토리와 마찬가지로 방문한 페이지에 대한 정보를 제공하기도 함.

- 가볍고 빠른 웹 통신이 가능하지만 사용자가 꾸준히 접속을 유지해야 하므로 불리한 구조.

- 호스트 경로, 쿠키 수정 시간, 쿠키 만료 시간, 이름, 값 등의 정보 제공.

 

4) 웹 다운로드 목록 (Download File List)

- 웹 브라우저는 웹에서 다운로드 받은 파일의 안정적 전송과 이력을 관리하기 위해 다운로드 되는 파일의 목록 관리.

- 사용자가 웹 브라우저를 통해 직접 다운로드한 파일의 정보.

- 의도치 않게 다운로드 된 파일(ex : cache)과 구분됨.

- 파일이 저장된 경로, 다운로드 URL, 파일 크기, 시간, 정상 다운로드 여부 등의 정보 제공.

 

 

 

 

< Cookie vs Cache >

	Cookie	Cache
목적	유저 관련 정보	웹 페이지 로딩 속도 개선
저장 데이터	User Preference (유저가 웹 사이트 접속 시 하는 행동패턴 or 관련 정보)	오디오, 이미지, 비디오 등 리소스 파일
삭제 시기	Expiration Time 만료 시 자동 삭제	유저가 삭제
Web Server Access	가능	불가능

 

 

 

 

 

WebCacheV01.dat

      :  기존의 index.dat 파일의 구성과 달리 ESE (Extensible Storage Engine) Database를 기반으로 구성하며,

         history, cache, cookie, download 등 여러 항목에 대한 정보들을 1개의 파일로 통합 관리한다.

 

- Caching System을 바탕으로 높은 성능, 신뢰성, 안전성 제공.

- 1MB ~ 1TB 파일까지의 다양한 데이터 사이즈 지원.

 

 

* Internet Explorer 10부터는 WebCacheV*.dat 파일에 모든 기록을 저장함.

 

 

<파일 경로>

C:\Users\(user)\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

 

 

 

 

 

 

[ WebCacheV01.dat 수집 및 분석 방법 ]

 

- IE10Analyer 툴 사용.

https://moaistory.blogspot.com/2016/08/ie10analyzer.html

IE10Analyzer

 

 

 

 

 

1. FTK Imager로 C:\Users\(user)\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

    파일을 Export Files 한다.

 

 

 

 

 

2. IE10Analyzer에 FTK Imager로 Export한 WebCacheV01.dat 파일을 연다.

 

Time Zones은 UTC+9로 설정한다.