[Artifact] 윈도우 포렌식 - 웹 아티팩트

웹 아티팩트

---

웹 아티팩트는 사용자 행위로 인해 웹 어플리케이션과 웹 브로우저가 통신하면서 생성되는 흔적이다.

웹 브라우저 쿠키, 웹 브라우저 히스토리, 웹 브라우저 다운로드 목록, 웹 캐시 등을 통해 웹 사용 내역을 조사할 수 있다.

 

Web History

웹 히스토리에서 찾을 수 잇는 정보는 사용자가 직접 방문한 웹 사이트의 접속 기록이라는 점에서 의미가 있다.

주요 제공 정보는 URL, 접속 시간, 접속 횟수, 페이지 Title 등이 있다.

 

Cache

웹 캐시는 웹 사이트 접속 시 방문사이트로부터 자동으로 전달받는 데이터다. 캐시에는 이미지, 텍스트, 아이콘, HTML, XML, 스크립트 등 다양한 데이터가 저장되어 있고 페이지 설계에 따라 자동으로 데이터를 다운받는 기술이기 때문에 교묘하게 변조되어 악성 파일을 다운하거나 악성 페이지에 접근하는데 이용될 수 있다.

주요 제공 정보는 접속 URL, 캐시 파일 정보(저장 시간, 파일명, 타입, 크기, 경로) 등이 있다.

 

Cookie

사용자가 접속을 꾸준히 유지해야 하는 상황에서 접속 상태를 유지할 수 있도록 하기 위해 쿠키라는 임시 저장소를 만들어 사용자 정보를 잠시 저장해두었다.

주요 제공 정보는 호스트 경로, 쿠키 수정시간, 쿠키 만료 시간, 이름, 값 등이 있다.

 

Download File List

웹에서 다운로드 받은 파일의 안정적인 전송과 이력을 관리하기 위해 다운로드되는 파일의 목록을 관리하고 있다.

주요 제공 정보는 파일이 저장된 경로, 다운로드 URL, 파일 크기, 시간, 정상 다운로드 여부 등이 있다.

 

---

 

본 정보는 개인이 설정한 곳의 정보입니다. 제 컴퓨터의 경로에서 찾은 부분이기에 설정에 따라 일부 다를 수 있습니다.

 

Internet Explorer

---

Cache

C:\Users\사용자이름\AppData\Local\Microsoft\Windows\INetCache\

 

History

C:\Users\사용자이름\AppData\Local\Microsoft\Windows\History\

 

Cookies

C:\Users\사용자이름\AppData\Local\Microsoft\Windows\INetCookies\

 

Chrome

---

Cache

C:\Users\사용자이름\AppData\Local\Google\Chrome\User Data\Default\Cache\

 

History

C:\Users\사용자이름\AppData\Local\Google\Chrome\User Data\Default\History

 

Cookies

C:\Users\사용자이름\\AppData\Local\Google\Chrome\User Data\Default\Cookies

 

Edge

---

Cache

C:\Users\사용자이름\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache

 

History

C:\Users\사용자이름\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\History

 

Cookies

C:\Users\사용자이름\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cookies\ESE