안녕하세요. 도칸리 포렌식스입니다.
오늘은 AXIOM의 분석 기능 중 Internet Cache 아티팩트의 분석 기능에 대해 배웁니다.
모두가 화이트!
Internet Browser Cache
브라우저 캐시는 로컬 컴퓨터의 임시 저장 위치를 가리킵니다.
브라우저는 사용자가 방문한 웹사이트의 구성 요소를 캐시에 저장합니다.
.
인기글
다음 형식의 파일이 캐시로 저장됩니다.
.
– HTML
– 자바스크립트
– CSS(cascading style sheets)
– 사진
– 멀티미디어 콘텐츠 등
웹사이트를 방문할 때마다 브라우저가 이전에 해당 사이트를 방문한 적이 있습니까? Cache에서 봐, 과거에 다가온 적이 있다면, 마지막으로 방문한 후 어떤 콘텐츠가 업데이트되었는지 호스트확인하십시오..
그런 다음 브라우저는 마지막 방문 후 업데이트되었거나 기존 캐시에 저장되지 않은 파일만 다운로드합니다.
.
캐시의 목적은 네트워크의 대역폭 사용량을 줄이고 웹 페이지를 로드할 때의 속도를 줄이는 것입니다.
.
Cache –Chrome
Chrome는 사용자 프로필 아래에 있습니다.
3별도의 폴더에 캐시를 저장합니다.
.
\Users\
아래 2개 유형을 제외한 일반 캐시 파일 html, javascripts, CSS, 저용량 사진 등은 여기에 기록됩니다.
\Users\
비디오 카드 GPU사용할 데이터는 여기에 캐시됩니다.
\Users\
동영상, 오디오와 같은 대용량 미디어 파일은 여기에 캐시됩니다.
각 캐시 폴더에 색인 파일과 다음과 같이 4개 block 파일이 존재합니다.
– data_0
– data_1
– data_2
– data_3
웹 페이지의 구성 요소가 캐시에 저장되면, 해당 파일의 메타데이터 정보도 다음과 같이 저장됩니다.
– Host site URL
– HTTP response
– 파일이 캐시에서 만료되는 시간
– 해당 파일이 캐시에서 삭제되는 시간 등
파일 콘텐츠와 콘텐츠에 대한 메타데이터는 2개로 나뉘어 저장됩니다.
, 그러나 둘 다 동일한 캐시 폴더에 저장됩니다.
따라서 비디오 파일이 캐시에 저장되어 있는 경우, 파일 내용과 파일 메타데이터 모두 \Media Cache\ 경로에 저장됩니다.
.
파일 내용이든 파일 메타데이터든, 저장된 데이터의 크기 16,384 바이트 이하인 경우, 그것 block 파일 중 하나로 저장됩니다.
데이터의 크기에 따라 다른 블록 파일에 데이터가 저장됩니다.
– data_0
파일 내용 또는 메타데이터 크기 0~144 바이트의 경우
– data_1
파일 내용 또는 메타데이터 크기 144~1024 바이트의 경우
– data_2
파일 내용 또는 메타데이터 크기 1024~4096 바이트의 경우
– data_3
파일 내용 또는 메타데이터 크기 4096~16384 바이트의 경우
저장된 데이터 16,384 바이트보다 큰 경우 f_0000xx 라는 개별 파일로 저장됩니다.
, 이때 xx헥사 값으로 캐시 폴더에 새 파일을 만들 때마다 +1 증가.
그 결과PNG 또는 GIF 파일 등 저용량 파일은 보통 블록 파일 중 하나에 저장됩니다.
, 동영상 등 대용량 미디어 파일은 개별 ‘f‘ 파일로 저장됩니다.
, 대부분의 메타데이터는 data_1 블록 파일에서 확인.
같은 캐시 폴더에 색인 파일은 캐시된 파일의 내용과 메타데이터 간의 상호 참조입니다.
(cross-reference)저장.
파일 내용과 메타데이터가 각각 독립적으로 추적되기 때문에AXIOM Examine실버 2개 Evidence Information 섹션 제공.
– 처음 Evidence Information
메타데이터 구성 요소 소스그리고 위치 정보를 표시합니다.
– 두 번째 Evidence Information
캐시된 파일의 데이터 콘텐츠 소스그리고 위치 정보를 표시합니다.
Artifacts로 표시된 정보는 다음과 같습니다.
– URL
캐시된 항목의 URL입니다.
– First Visited Data/Time
해당 URL처음 접근 한 날짜와 시간입니다.
– Last Visited Data/Time
해당 URL에 마지막으로 다가온 날짜와 시간입니다.
– Last Synced Data/Time
웹사이트와 캐시된 항목이 마지막으로 동기화된 날짜와 시간입니다.
– 파일 유형
캐시된 파일 형식.
– Content Size (bytes)
캐시된 아이팀의 바이트 크기.
Cache – FireFox
대부분의 Firefox Artifacts는 사용자 Roaming 프로필의 파일에서 추출되지만지역 프로필에도 존재할 수 있습니다.
.
다음 위치에 캐시가 존재합니다.
.
\Users\
색인 라는 파일이 존재하고,, 다음과 같이 2개의 하위 폴더가 있습니다.
.
– \entries\
캐시된 파일 자체가 존재합니다.
– \doomed\
만료된 캐시 콘텐츠가 존재하며,, Firefox브라우저를 닫거나 다시 시작할 때 이를 제거하는 것이 일반적입니다.
.
색인에는 다음 정보가 기록되어 있습니다.
.
– 각 캐시된 파일이 캐시에 기록된 날짜와 시간
– 만료일
Chrome의 경우 파일 내용과 메타데이터를 각각 구별하고 저장하는 것에 비해Firefox는 메타데이터 정보를 캐시된 파일의 끝에 추가합니다.
.
파일 끝 4 바이트는 빅 엔디안 정수 값으로 캐시된 콘텐츠의 크기를 나타냅니다.
, 메타데이터 콘텐츠는 논리 파일 내에서 시작.
Artifacts Explorer에서 Content Size (Bytes)는 캐시된 콘텐츠만의 크기를 나타냅니다.
.
메타데이터가 아닌 콘텐츠 전용 크기라는 점에 유의해야 합니다.
즉, 디스크/기기에 저장 Firefox 캐시 폴더에 저장된 파일의 크기가 아닙니다.
캐시의 논리 파일은 파일 시스템 탐색기보인다.
, 여기에는 메타데이터 정보가 포함되므로 항상 크기가 커집니다.
.
Artifacts로 표시된 정보는 다음과 같습니다.
– URL
캐시된 항목의 URL입니다.
– Date Created Date/Time
파일이 캐시에 기록된 날짜와 시간.
– MIME Type
캐시된 항목의 MIME 유형입니다.
– Content Size (bytes)
캐시된 항목의 바이트 크기.
메타데이터가 아닌 콘텐츠만 해당됩니다.
Cache – 가장자리
가장자리는 아래 경로에 있습니다.
WebCacheV01.dat 파일에 캐시된 파일의 메타데이터 정보와 상호 참조 정보를 기록합니다.
.
\Users\
캐시된 파일 자체는 xxxxxxxx 라는 무작위로 명명된 하위 폴더에.
\Users\username>\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\Cache\xxxxxxxx\
뿐만 아니라, 동일 Package 내부 하위 폴더에도 존재합니다.
, 폴더 이름에 숫자가 있습니다.
.
\Users\username>\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!
001\MicrosoftEdge\Cache\xxxxxxxx\
Artifacts로 표시된 정보는 다음과 같습니다.
– URL
캐시된 항목의 URL입니다.
– Creation Date/Time
캐시된 데이터가 로컬 시스템에 저장되는 날짜와 시간.
– Last Modified Date/Time
캐시된 항목이 소스가 되는 쪽에서 마지막으로 변경된 일시(The date and time the cached item was last modified on the source side)입니다.
– 파일 유형
캐시된 항목의 파일 유형.
– Visit Count
캐시된 파일에 액세스한 횟수.
– Content Size (bytes)
캐시된 파일의 바이트 크기.
– Original Path
캐시된 파일에 대한 원래 절대 경로.
– Relative Path
WebCacheV01.dat 데이터베이스 파일의 위치를 기반으로 파일에 대한 상대 경로.
감사합니다.
오늘도 즐거운 하루가 되십시오.
“좋아요“와”구독하기“는 힘이 됩니다.
참고 자료: Magnet AXIOM Examinations (AX200)
