2012 Secuwave F200

판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다.
현재 용의자의 시스템을 조사하는 중이다.
용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다.

용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오.

 문제를 보면 용의자의 인터넷 사용 패턴을 조사해서 가장 많이 접근했던 사이트와 마지막 접근시간을 알아내는 문제이다.

문제해결을 위해 용의자가 어떤 브라우저를 사용했는지와 그 해당 브라우저에 맞는 웹히스토리 파싱도구를 사용해서 

파악해보자.  문제 풀이에 들어가기에 앞서 브라우저의 정보들을 살펴보자.

• 임시 인터넷 파일
• 쿠키 정보
• 히스토리 정보
• 캐쉬 정보
• 세션 정보
• 자동 완성 정보

 위와 같은 정보들이 브라우저(IE, Chrome, Firefox)의 공통적인 정보다. 

접근한 사이트와 시간은 히스토리 정보를 보면 알 수 있다.

[그림 1] 사용자 계정 확인

FTK Imager로 파일을 열고 User 디렉터리에 들어오면 사용자 디렉터리들이 보인다. 

여기서 용의자의 계정이라고 추측되는 계정은 7ester이다.

계정을 알아냈으니 7ester 디렉터리에서 용의자가 사용한 브라우저와 히스토리 파일을 찾아보자.

IE History	%UserProfile%\Appdata\Local\Microsoft\Windows\History\History.IE5\Index.dat  IE v10+ : %UserProfile%\Appdata\Local\Microsoft\Windows\WebCache\WebCacheV(01 or 24).dat
Ghrome History	%UserProfile%\Appdata\Local\Google\Chrome\User Data\Default\History
Firefox History	%UserProfile%\Appdata\Roaming\Mozilla\Firefox\Profiles\<Random>.default\places.sqlite

[표 1] 브라우저별 히스토리 경로

먼저 각 브라우저별 히스토리 경로에 가서 용의자가 어떤 브라우저를 사용하고 있는지 확인해보았다.

[그림 2] 브라우저 확인

IE와 Chrome의 공통 경로인 %UserProfile%\Appdata\Local에서 봤을때 IE 히스토리 경로인 Microsoft는 확인이 가능했지만

Chrome 히스토리 경로인 google은 없었고 Roaming에서도 파이어폭스 경로인 Mozilla는 없었다.

그러므로 용의자는 IE를 사용한 것으로 보인다.

[그림 3] Explorer 버전 확인

IE History 경로에 웹캐시파일을 보면 IE 버전의 정보를 알 수 있다. IE 10버전 이전에는 index.dat 파일이였지만 10버전부터 WebCacheV24.dat 파일로 변경되었다. IE10버전부터는 IE10Analyzer 도구로 파싱이 가능하다.

[그림 4] IE10Analyzer File Open

도구를 실행시키고 File-Open을 하고 웹캐시 파일 경로를 [그림 4]와 같이 지정해주면 된다.

경로를 지정해주고 UTC Time 설정을 UTC+9로 셋팅해주면 된다.

[그림 5] 히스토리 분석

History 테이블에 들어간 뒤 AccessCount 횟수를 보면 용의자가 어떤 사이트가 가장 많이 방문했는지 알 수 있다.

용의자가 자주 방문한 사이트는 http://www.hanrss.com 이고 가장 마지막으로 접근한 시간은 AccessTime을 보면

2012-08-30 14:59:49 이다.

용의자가 가장 많이 접근했던 사이트의 URL : http://www.hanrss.com

해당 URL에 마지막으로 접근한 시간 : 2012-08-30 14:59:49