Chrome 로그 분석
Cache 정보 분석
- 전체 파일 구성
- data_0, data_1, data_2, data_3, 데이터 파일
파일 구성
- data_0 파일
- 인덱스 레코드가 저장됨(URL 레코드의 위치 정보 저장)
- 오프셋 0x2000부터 0x24 바이트 단위로 저장
- Data_1, data_2, data_3
- URL(URL 레코드에 저장됨), 메타데이터, Cache 데이터 저장
- 오프셋 0x2000부터 블록 단위로 저장
- 블록 단위 • data_1: 0x100 • data_2: 0x400 • data_3: 0x1000
Data_0에서의 인덱스 레코드 구조
• 최초 2 바이트
- 블록의 인덱스
- 0x0001이면 두 번째 블록에 URL레코드가 저장되어 있음
• 3번째 바이트
- 파일의 인덱스
- 0x01이면 data_1 파일에 URL 레코드가 저장되어 있음
• URL 레코드 위치
- 블록 인덱스 * 블록의 단위 + 0x2000
Data_n(n=1,2,3,)에서의 URL 레코드 구조
• (메타)데이터의 위치 및 이름
- 4번째 바이트에 따라 저장 위치 결정
- 0x80이면 별도의 파일로 저장 나머지 3바이트가 파일의 이름
- 0x80이 아니면 “URL 레코드 위치”와 같은 방식으로 계산
1. Cache 파일 내용 확인: data_0의 인덱스 레코드에서 URL 레코드 위치를 참조
- 가장 뒷부분(A0): 블록의 크기
Cache 데이터가 cache 파일(data_n) 안에 있는 경우
History 정보 분석
- 로그 파일명: History
- 파일 형식: SQLite 데이터베이스 파일 형식
- 주요 테이블
• urls 테이블
방문한 url 정보 저장, 같은 url은 중복 저장 안 됨, 중복 방문 시 마지막 접속 시간 저장 -> 사이트 고유의 url들이 저장
• visits 테이블
실제 방문 정보 저장, 실제 방문 시 저장되는 url정보는 urls 테이블에서 참조
-> 방문 이력 관리
저장 정보
• URL
• Title
• 방문 횟수
• 방문 타입(1: URL 타이핑 점속, 0: 링크 접속)
• 방문 시간(1601년 1월 1일 00:00:00 기준 경과된 마이크로초)
Chrome은 History 파일의 맨 처음 부분을 확인하면 SQLite Format 3라는 데이터베이스를 사용
History 파일을 SQLite Browser를 통해 열면
Urls 테이블
Visits 테이블
Cookie 정보 분석
- 로그 파일명: cookies
- 파일 형식: SQLite 데이터베이스 파일 형식
- 주요 테이블: cookies 테이블
저장 정보
• 호스트, 경로
• 변수, 값
• 방문 횟수
• 마지막 접근 시간(1601년 1월 1일 00:00:00 기준 경과된 마이크로초)
• 쿠키 만료 시간(1601년 1월 1일 00:00:00 기준 경과된 마이크로초)
• isSecure, isHttpOnly
Chrome은 Cookies 파일의 맨 처음 부분을 확인하면 SQLite Format 3라는 데이터베이스를 사용
Cookies 파일을 SQLite Browser를 통해 열면
Cookies 테이블
Download 정보 분석
- 로그 파일명: History
- 파일 형식: SQLite 데이터베이스 파일 형식
- 주요 테이블: downloads 테이블
저장 정보
• 소스 URL
• 다운받은 Local 경로
• 다운로드 시간(1601년 1월 1일 00:00:00 기준 경과된 마이크로초): 시작/종료시간
• 총 다운로드 크기
• 다운로드 상태: 성공(1), 실패(0)
Downloads 테이블
'Degital Forensic > Google Chrome 분석' 카테고리의 다른 글
| [디지털 포렌식] 구글 크롬(Google Chrome) 이메일 분석 (0) | 2020.08.24 |
|---|---|
| [디지털 포렌식] Google Chrome 아티팩트 분석 ( vmem, dmp ) (0) | 2020.08.24 |
| [디지털 포렌식] 구글 크롬(Google Chrome ) AppData (1) | 2020.07.17 |
