SlideShare a Scribd company logo

(120616) #fitalk web browser forensics - part iii

INSIGHT FORENSIC
INSIGHT FORENSIC

2012 F-INSIGHT TALK

Technology
1 of 26
Download to read offline
FORENSIC INSIGHT SEMINAR Web Browser Forensics : Part3 blueangel blueangel1275@gmail.com http://blueangel-forensic-note.tistory.com
forensicinsight.org Page 2 / 26 목차 1. 웹 브라우저 로그 분석 : 심화 과정 • 통합 타임라인 분석 • Time Zone 분석 • 검색어 추출 • URL 인코딩 분석 • 사용자 행위 분류 • 삭제 로그 정보 복구 2. 결론
forensicinsight.org Page 3 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
forensicinsight.org Page 4 / 26 웹 브라우저 로그 분석 : 심화 과정 § 타임라인 분석? • 웹 브라우저의 사용 내역을 일련의 시간 흐름으로 재구성 • 사용자의 사이트간 이동경로를 파악, 전체적인 사용자 행위를 유추 § 통합 타임라인 분석의 필요성 • 한 명의 사용자가 여러 브라우저를 동시에 사용하는 경우가 많아짐 è 여러 브라우저의 로그를 하나의 타임라인 상에서 분석해 주는 도구 필요~!!! • 각 로그의 시간 정보를 기준으로 통합 통합 타임라인 분석 시간 정보
forensicinsight.org Page 5 / 26 웹 브라우저 로그 분석 : 심화 과정 § 5대 웹 브라우저 모두 서로 다른 시간 포멧 사용 • 하나의 공통된 포멧으로 통일할 필요성이 있음 통합 타임라인 분석 웹 브라우저 시간 정보 포멧 Internet Explorer FILETIME: 100-nanosecond (10-9) Since January 1, 1601 00:00:00 (UTC+0) Firefox PRTime: microsecond(10-6) Since January 1, 1970 00:00:00 (UTC+0) Chrome WEBKIT Time: microsecond(10-6) Since January 1, 1601 00:00:00 (UTC+0) Safari CFAbsoluteTime: second Since January 1, 2001 00:00:00 (UTC+0) Opera UNIX Time: second Since January 1, 1970 00:00:00 (UTC+0)
forensicinsight.org Page 6 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
forensicinsight.org Page 7 / 26 웹 브라우저 로그 분석 : 심화 과정 § 5대 웹 브라우저 모두 UTC+0을 기준으로 시간 정보 저장 • 로그 수집 장소의 지역 시간으로 변경할 필요성이 있음 è 분석 도구의 타임존 변환 기능 필요~!!! • 예외적으로 지역 시간으로 저장되는 경우가 있음 è IE 주간 히스토리 정보의 접근 시간 타임존 분석
forensicinsight.org Page 8 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
forensicinsight.org Page 9 / 26 웹 브라우저 로그 분석 : 심화 과정 § 검색어? • 사용자의 의도와 관심사를 가장 명확하게 알 수 있는 키워드 • 웹 브라우저 포렌식 조사 과정에서 가장 중요한 정보 § 일반적으로 검색 엔진에 입력한 검색어는 Cache, History 로그의 URL에 기록됨 § 기본적인 URL 구조 § 구글 검색 엔진에서 “forensic” 키워드 검색시, 로그에 저장되는 URL http://www.google.co.kr/#sclient=psy&hl=ko&newwindow=1&source=hp&q=forensic&aq=f&aqi=g5 &aql=&oq=&pbx=1&fp=a03afb05b2691392&biw=1280&bih=939 검색어 추출
forensicinsight.org Page 10 / 26 웹 브라우저 로그 분석 : 심화 과정 § 전세계 검색 엔진 점유율 ( 출처 : NetMarketShare, 2012년 6월 ) 검색어 추출
forensicinsight.org Page 11 / 26 웹 브라우저 로그 분석 : 심화 과정 § 검색어 추출을 위한 각 검색 엔질 별 시그니처와 검색어 위치 검색어 추출 검색 엔진 도메인 시그니처 검색어 위치 Google google.com sclient 변수 “q” 의 값 Yahoo search.yahoo.com /search 변수 “p” 의 값 Baidu baidu.com /s 변수 “wd” 의 값 Bing bing.com /search 변수 “q” 의 값 Ask ask.com /web 변수 “q” 의 값 AOL search.aol.com /search/ 변수 “q” 의 값 Excite msxml.excite.com /results/ 경로 “/Web/” 뒤에 위치 Lycos Search.lycos.com 변수 “query” 의 값 Alta vista altavista.com /search 변수 “p” 의 값 MSN bing.com /search 변수 “q” 의 값 Naver naver.com /search 변수 “query” 의 값 Daum daum.net /search 변수 “q” 의 값 Nate nate.com /search 변수 “q” 의 값
forensicinsight.org Page 12 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
forensicinsight.org Page 13 / 26 웹 브라우저 로그 분석 : 심화 과정 § URL 에서 영어가 아닌 문자는 모두 인코딩됨 è URL 디코딩 필요~!!! URL 인코딩 분석
forensicinsight.org Page 14 / 26 웹 브라우저 로그 분석 : 심화 과정 § 기본적인 URL 인코딩 방식 • 헥사코드로 표현 한 후, 1바이트단위로 ‘%’ 문자를 앞부분에 추가 è %ED%8F%AC%EB%A0%8C%EC%8B%9D § URL 인코딩 방식 분류 • UTF-8 인코딩 ü 1~4바이트 까지 사용, 1바이트 까지는 ASCII와 동일 EX) %ED%8F%AC%EB%A0%8C%EC%8B%9D è “포렌식” ü 전세계에서 가장 많이 사용하는 인코딩 형식 ü 검색 엔진 : www.google.co.kr, www.yahoo.co.kr, www.bing.com, www.ask.com … URL 인코딩 분석 코드 범위 UTF-16(UNICODE)표현 UTF-8 표현 설명 000000- 00007F 00000000 0xxxxxxx 0xxxxxxx ASCII와 동일한 범위 000080- 0007FF 00000xxx xxxxxxxx 110xxxxx 10xxxxxx 첫 바이트는 110으로 시작하고, 나머지 바이트들은 10으로 시작함 000800- 00FFFF xxxxxxxx xxxxxxxx 1110xxxx 10xxxxxx 10xxxxxx 첫 바이트는 1110으로 시작하고, 나머지 바이트들은 10으로 시작함 010000- 10FFFF 110110yy yyxxxxxx 110111xx xxxxxxxx 11110zzz 10zzxxxx 10xxxxxx 10xxxxxx UTF-16 서러게이트 쌍 영역 (yyyy = zzzzz - 1). UTF-8로 표시된 비트 패턴은 실제 코드 포인트와 동일하다.
forensicinsight.org Page 15 / 26 웹 브라우저 로그 분석 : 심화 과정 § URL 인코딩 방식 분류(계속) • Unicode 인코딩 ü Unicode의 2바이트를 16진수 혹은 10진수 형식으로 인코딩 è %uHHHH or %26%23<십진수>%3B 형식으로 인코딩 됨 EX) %26%2354252%3B%26%2347116%3B%26%2349885%3B è “포렌식” ü 검색 엔진 : www.baidu.com • 코드 페이지 인코딩 ü 각 나라의 코드 페이지에 따라 인코딩하는 방식 ü 한국어의 경우, EUC-KR(한글 완성형) 코드표에 따라 2바이트 단위로 인코딩 됨 EX) %C6%F7%B7%BB%BD%C4 è “포렌식” ü 같은 HEX 값이라도 코드 페이지에 따라 의미하는 문자가 달라짐 è %C6%F7%B7%BB%BD%C4 è EUC-KR è “포렌식” è EUC-JP è “匂兄縦” è 사이트 혹은 국가별 구분 필요 ü 검색 엔진 : www.nate.com, www.paran.com URL 인코딩 분석
forensicinsight.org Page 16 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
forensicinsight.org Page 17 / 26 웹 브라우저 로그 분석 : 심화 과정 § 필요성 • URL 정보만으로는 사용자 행위를 바로 파악이 어려움 è 웹 브라우저를 통해 직접 웹 사이트를 방문 필요 è 시간 소모~ • 분석 효율성 증가 è 분석 시간 단축 ü 수 많은 로그 기록에서 사용자 행위 흐름을 한 눈에 파악 가능 ü 조사자가 찾고자 하는 사용자 행위를 빠르게 검색 사용자 행위 분류
forensicinsight.org Page 18 / 26 웹 브라우저 로그 분석 : 심화 과정 § 분류 방법 • History URL은 웹 사이트 제작자에 의해 결정됨 è URL의 도메인과 Path에는 해당 웹 페이지의 특징과 역할을 나타내는 키워드 존재 • 키워드를 기반으로 사용자 행위 분류 ü 일반적인 키워드 : mail, lecture, map, news ü 특수 키워드 : facebook, twitter, è DB에 저장된 시그니처 사용 사용자 행위 분류 사용자 행위 일반 키워드 및 분류 방법 정보 획득 검색 검색어 추출이 가능하면 검색 행위로 분류 위키피디아 wikipedia 문서 보기 .doc(x), .ppt(x), .xls(x), .pdf, .txt … 블로그 blog 교육 lecture, study, learn 지도 map 뉴스 news 날씨 weather 사전 dic, dictionary 다운로드 ftp://, download 구입 쇼핑 shop, store 예약 reservation, ticket 인간관계 SNS DB 에 저장된 시그니처 사용(facebook.com, twitter.com ...) 커뮤니티 forum, cafe, club, group, community 채팅 chat 업무 메일 mail, email, e-mail 일정 calendar 클라우드 DB 에 저장된 시그니처 사용(docs.google.com, zoho, aws.amazon, racksace ... ) 은행업무 bank 신청 apply, application 등록 register 엔터테이먼트 game, movie, music, cartoon, sport, radio, adult, porn, sex
forensicinsight.org Page 19 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
forensicinsight.org Page 20 / 26 웹 브라우저 로그 분석 : 심화 과정 § 대부분의 웹 브라우저들은 로그 삭제 기능을 가지고 있음 è 웹 브라우저 포렌식 조사 과정을 어렵게 만듬 삭제된 로그 정보 복구
forensicinsight.org Page 21 / 26 웹 브라우저 로그 분석 : 심화 과정 § 사용자 정보 삭제 기능 분류 • 초기화 : 해당 파일의 내용을 초기화 (0으로 혹은 파일 초기 상태로) • 파일 삭제 : 해당 파일을 파일 시스템에서 삭제 § 삭제 기능 분류에 따른 복구 가능 여부 • 초기화 : 복구 불가능 ü 유사 정보를 통한 복구 EX) History 정보가 초기화 되도 Session 정보가 삭제되는 경우가 있음 è 복구한 세션 파일의 정보를 통해 History 정보의 일부분을 복구 가능 • 파일 삭제 ü 파일 시스템 관점에서 삭제된 파일을 복구한 후, 삭제된 정보 추출 ü 카빙 기법을 통해 삭제된 파일 복구 가능 삭제된 로그 정보 복구
forensicinsight.org Page 22 / 26 웹 브라우저 로그 분석 : 심화 과정 § 각 브라우저 별 로그 정보 삭제 방식 삭제된 로그 정보 복구 웹 브라우저 로그 정보 삭제 방식 IE Cache index.dat 파일의 데이터 초기화 임시 인터넷 파일 삭제 History index.dat 파일의 데이터 초기화 일간/주간 index.dat 파일 삭제 Cookie index.dat 파일의 데이터 초기화 Cookie 텍스트 파일 삭제 Download IE 8 이하는 다운로드 정보 없음 IE 9 다운로드 정보의 레코드는 삭제되지 않음(비활성화) Firefox Cache 초기화 History 초기화 Cookie 초기화 Download 초기화 Chrome Cache 파일 삭제 History 초기화 Cookie 초기화 Download 초기화 Safari Cache 초기화 History 초기화 Cookie 파일 삭제 Download 초기화 Opera Cache 초기화 History 초기화 Cookie 초기화 Download 초기화
forensicinsight.org Page 23 / 26 웹 브라우저 로그 분석 : 심화 과정 § 각 브라우저 별 삭제된 로그 정보에 대한 복구 방식 삭제된 로그 정보 복구 웹 브라우저 로그 정보 Recovery Method IE Cache 삭제된 임시 인터넷 파일 복구 History 삭제된 일간/주간 index.dat 파일 복구 비할당 영역에서 일간/주간 index.dat 파일 카빙 Cookie 삭제된 Cookie 텍스트 파일 복구 Download IE 9 다운로드 정보의 레코드는 삭제되지 않음(비활성화) Firefox Cache N/A History 삭제된 Session 파일 복구 비할당 영역에서 session 파일 카빙 Cookie N/A Download N/A Chrome Cache 삭제된 Cache 파일 복구 History 삭제된 월간 History 파일 복구 Cookie N/A Download N/A Safari Cache N/A History 삭제된 Session 파일 복구 Cookie 삭제된 Cookie 파일 복구 Download N/A Opera Cache N/A History 삭제된 Session 파일 복구 Cookie N/A Download N/A
forensicinsight.org Page 24 / 26 결 론
forensicinsight.org Page 25 / 26 결론 § 단순히 로그 파일 파싱이 전부가 아니다~!! § 웹 브라우저 로그 분석에서 고려해야 할 사항 • 여러 웹 브라우저에 대한 통합 타임라인 분석 • Time Zone 적용 • 검색어 추출 • URL 인코딩 • 사용자 행위 분류 • 삭제된 로그 정보에 대한 복구 § 분석 시, 위 사항을 고려 및 지원해주는 도구 사용
forensicinsight.org Page 26 / 26 질문 및 답변

Recommended

(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part iINSIGHT FORENSIC
 
(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iiiINSIGHT FORENSIC
 
Web App Security 2015.10
Web App Security 2015.10Web App Security 2015.10
Web App Security 2015.10Chanjin Park
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석INSIGHT FORENSIC
 
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)daumfoundation
 
Een digitale bibliotheek of alleen Google?
Een digitale bibliotheek of alleen Google?Een digitale bibliotheek of alleen Google?
Een digitale bibliotheek of alleen Google?Eric Sieverts
 
제5회인터넷리더십프로그램_왕초보를 위한 트위터 완벽 활용_정진호
제5회인터넷리더십프로그램_왕초보를 위한 트위터 완벽 활용_정진호제5회인터넷리더십프로그램_왕초보를 위한 트위터 완벽 활용_정진호
제5회인터넷리더십프로그램_왕초보를 위한 트위터 완벽 활용_정진호daumfoundation
 

Recommended

(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part iINSIGHT FORENSIC
 
(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iii(120616) #fitalk web browser forensics - part iii
(120616) #fitalk web browser forensics - part iiiINSIGHT FORENSIC
 
Web App Security 2015.10
Web App Security 2015.10Web App Security 2015.10
Web App Security 2015.10Chanjin Park
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석INSIGHT FORENSIC
 
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)
비영리 사업에서 꼭 필요한 인터넷 도구 (유승철)daumfoundation
 
Een digitale bibliotheek of alleen Google?
Een digitale bibliotheek of alleen Google?Een digitale bibliotheek of alleen Google?
Een digitale bibliotheek of alleen Google?Eric Sieverts
 
제5회인터넷리더십프로그램_왕초보를 위한 트위터 완벽 활용_정진호
제5회인터넷리더십프로그램_왕초보를 위한 트위터 완벽 활용_정진호제5회인터넷리더십프로그램_왕초보를 위한 트위터 완벽 활용_정진호
제5회인터넷리더십프로그램_왕초보를 위한 트위터 완벽 활용_정진호daumfoundation
 
IT 일반기술 강의자료_ed10
IT 일반기술 강의자료_ed10IT 일반기술 강의자료_ed10
IT 일반기술 강의자료_ed10hungrok
 
Java advancd ed10
Java advancd ed10Java advancd ed10
Java advancd ed10hungrok
 
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Casedaumfoundation
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
Jsp convert to Servlet
Jsp convert to ServletJsp convert to Servlet
Jsp convert to ServletJU Chae
 
코딩에는 좋은 노트북이 필요 없다
코딩에는 좋은 노트북이 필요 없다코딩에는 좋은 노트북이 필요 없다
코딩에는 좋은 노트북이 필요 없다Han Sung Kim
 
Java 강의자료 ed11
Java 강의자료 ed11Java 강의자료 ed11
Java 강의자료 ed11hungrok
 
Server
ServerServer
ServerDaeMyung Kang
 
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집daumfoundation
 
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈daumfoundation
 
SoftLayer에서 VM 생성해보기!
SoftLayer에서 VM 생성해보기!SoftLayer에서 VM 생성해보기!
SoftLayer에서 VM 생성해보기!IBM Korea
 
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayer
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayerSoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayer
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayerIBM Korea
 
SoftLayer 서비스 설명 5차 - 보안
SoftLayer 서비스 설명 5차 - 보안SoftLayer 서비스 설명 5차 - 보안
SoftLayer 서비스 설명 5차 - 보안IBM Korea
 
서버/인프라를 지탱하는 기술
서버/인프라를 지탱하는 기술서버/인프라를 지탱하는 기술
서버/인프라를 지탱하는 기술재훈 정
 
Web server page_ed10
Web server page_ed10Web server page_ed10
Web server page_ed10hungrok
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part iINSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensicsINSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensicsINSIGHT FORENSIC
 
웨일브라우저 성능 및 메모리 최적화
웨일브라우저 성능 및 메모리 최적화웨일브라우저 성능 및 메모리 최적화
웨일브라우저 성능 및 메모리 최적화NAVER D2
 

More Related Content

Viewers also liked

IT 일반기술 강의자료_ed10
IT 일반기술 강의자료_ed10IT 일반기술 강의자료_ed10
IT 일반기술 강의자료_ed10hungrok
 
Java advancd ed10
Java advancd ed10Java advancd ed10
Java advancd ed10hungrok
 
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Casedaumfoundation
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
Jsp convert to Servlet
Jsp convert to ServletJsp convert to Servlet
Jsp convert to ServletJU Chae
 
코딩에는 좋은 노트북이 필요 없다
코딩에는 좋은 노트북이 필요 없다코딩에는 좋은 노트북이 필요 없다
코딩에는 좋은 노트북이 필요 없다Han Sung Kim
 
Java 강의자료 ed11
Java 강의자료 ed11Java 강의자료 ed11
Java 강의자료 ed11hungrok
 
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집daumfoundation
 
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈daumfoundation
 
SoftLayer에서 VM 생성해보기!
SoftLayer에서 VM 생성해보기!SoftLayer에서 VM 생성해보기!
SoftLayer에서 VM 생성해보기!IBM Korea
 
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayer
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayerSoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayer
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayerIBM Korea
 
SoftLayer 서비스 설명 5차 - 보안
SoftLayer 서비스 설명 5차 - 보안SoftLayer 서비스 설명 5차 - 보안
SoftLayer 서비스 설명 5차 - 보안IBM Korea
 
서버/인프라를 지탱하는 기술
서버/인프라를 지탱하는 기술서버/인프라를 지탱하는 기술
서버/인프라를 지탱하는 기술재훈 정
 
Web server page_ed10
Web server page_ed10Web server page_ed10
Web server page_ed10hungrok
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 

Viewers also liked (18)

IT 일반기술 강의자료_ed10
IT 일반기술 강의자료_ed10IT 일반기술 강의자료_ed10
IT 일반기술 강의자료_ed10
 
Java advancd ed10
Java advancd ed10Java advancd ed10
Java advancd ed10
 
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case
2013 꿈다락 토요문화학교 유스보이스 8경 잡지만들기 결과물 - Case
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)
 
Jsp convert to Servlet
Jsp convert to ServletJsp convert to Servlet
Jsp convert to Servlet
 
코딩에는 좋은 노트북이 필요 없다
코딩에는 좋은 노트북이 필요 없다코딩에는 좋은 노트북이 필요 없다
코딩에는 좋은 노트북이 필요 없다
 
Java 강의자료 ed11
Java 강의자료 ed11Java 강의자료 ed11
Java 강의자료 ed11
 
Server
ServerServer
Server
 
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집
2013 꿈다락 토요문화학교 유스보이스 8경 캐릭터 설정 자료집
 
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
[거의 모든 인터넷의 역사, 그리고 미래 - 정지훈
 
SoftLayer에서 VM 생성해보기!
SoftLayer에서 VM 생성해보기!SoftLayer에서 VM 생성해보기!
SoftLayer에서 VM 생성해보기!
 
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayer
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayerSoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayer
SoftLayer에서 웹 애플리케이션 호스팅하기 - WordPress on SoftLayer
 
SoftLayer 서비스 설명 5차 - 보안
SoftLayer 서비스 설명 5차 - 보안SoftLayer 서비스 설명 5차 - 보안
SoftLayer 서비스 설명 5차 - 보안
 
서버/인프라를 지탱하는 기술
서버/인프라를 지탱하는 기술서버/인프라를 지탱하는 기술
서버/인프라를 지탱하는 기술
 
Web server page_ed10
Web server page_ed10Web server page_ed10
Web server page_ed10
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
 

Similar to (120616) #fitalk web browser forensics - part iii

(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part iINSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensicsINSIGHT FORENSIC
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensicsINSIGHT FORENSIC
 
웨일브라우저 성능 및 메모리 최적화
웨일브라우저 성능 및 메모리 최적화웨일브라우저 성능 및 메모리 최적화
웨일브라우저 성능 및 메모리 최적화NAVER D2
 
[2012널리세미나] 오빠~ 네이버 왜 이렇게 늦게 떠?
[2012널리세미나] 오빠~ 네이버 왜 이렇게 늦게 떠?[2012널리세미나] 오빠~ 네이버 왜 이렇게 늦게 떠?
[2012널리세미나] 오빠~ 네이버 왜 이렇게 늦게 떠?Nts Nuli
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypterINSIGHT FORENSIC
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypterINSIGHT FORENSIC
 
웹수집(Web Crawling)
웹수집(Web Crawling)웹수집(Web Crawling)
웹수집(Web Crawling)wang inyoung
 
High performance networking in chrome
High performance networking in chromeHigh performance networking in chrome
High performance networking in chromeJi Hun Kim
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig baseINSIGHT FORENSIC
 
데브시스터즈 데이터 레이크 구축 이야기 : Data Lake architecture case study (박주홍 데이터 분석 및 인프라 팀...
데브시스터즈 데이터 레이크 구축 이야기 : Data Lake architecture case study (박주홍 데이터 분석 및 인프라 팀...데브시스터즈 데이터 레이크 구축 이야기 : Data Lake architecture case study (박주홍 데이터 분석 및 인프라 팀...
데브시스터즈 데이터 레이크 구축 이야기 : Data Lake architecture case study (박주홍 데이터 분석 및 인프라 팀...Amazon Web Services Korea
 
도구를 활용한 더 나은 웹 개발: Yeoman
도구를 활용한 더 나은 웹 개발: Yeoman도구를 활용한 더 나은 웹 개발: Yeoman
도구를 활용한 더 나은 웹 개발: YeomanJae Sung Park
 
NAVER의 웹/HTML5환경 대응 현황
NAVER의 웹/HTML5환경 대응 현황NAVER의 웹/HTML5환경 대응 현황
NAVER의 웹/HTML5환경 대응 현황NAVER Engineering
 
(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensicsINSIGHT FORENSIC
 
클라우드 환경에서 알아야할 성능 이야기
클라우드 환경에서 알아야할 성능 이야기클라우드 환경에서 알아야할 성능 이야기
클라우드 환경에서 알아야할 성능 이야기YoungSu Son
 
(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part iiINSIGHT FORENSIC
 
(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part iiINSIGHT FORENSIC
 
장고로 웹서비스 만들기 기초
장고로 웹서비스 만들기 기초장고로 웹서비스 만들기 기초
장고로 웹서비스 만들기 기초Kwangyoun Jung
 
[오픈소스컨설팅] 스카우터 사용자 가이드 2020
[오픈소스컨설팅] 스카우터 사용자 가이드 2020[오픈소스컨설팅] 스카우터 사용자 가이드 2020
[오픈소스컨설팅] 스카우터 사용자 가이드 2020Ji-Woong Choi
 

Similar to (120616) #fitalk web browser forensics - part iii (20)

(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i(120318) #fitalk web browser forensics - part i
(120318) #fitalk web browser forensics - part i
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics
 
(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics(120513) #fitalk windows 8 forensics
(120513) #fitalk windows 8 forensics
 
웨일브라우저 성능 및 메모리 최적화
웨일브라우저 성능 및 메모리 최적화웨일브라우저 성능 및 메모리 최적화
웨일브라우저 성능 및 메모리 최적화
 
[2012널리세미나] 오빠~ 네이버 왜 이렇게 늦게 떠?
[2012널리세미나] 오빠~ 네이버 왜 이렇게 늦게 떠?[2012널리세미나] 오빠~ 네이버 왜 이렇게 늦게 떠?
[2012널리세미나] 오빠~ 네이버 왜 이렇게 늦게 떠?
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
 
(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter(120211) #fitalk application password decrypter
(120211) #fitalk application password decrypter
 
웹수집(Web Crawling)
웹수집(Web Crawling)웹수집(Web Crawling)
웹수집(Web Crawling)
 
High performance networking in chrome
High performance networking in chromeHigh performance networking in chrome
High performance networking in chrome
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
데브시스터즈 데이터 레이크 구축 이야기 : Data Lake architecture case study (박주홍 데이터 분석 및 인프라 팀...
데브시스터즈 데이터 레이크 구축 이야기 : Data Lake architecture case study (박주홍 데이터 분석 및 인프라 팀...데브시스터즈 데이터 레이크 구축 이야기 : Data Lake architecture case study (박주홍 데이터 분석 및 인프라 팀...
데브시스터즈 데이터 레이크 구축 이야기 : Data Lake architecture case study (박주홍 데이터 분석 및 인프라 팀...
 
Glances
GlancesGlances
Glances
 
도구를 활용한 더 나은 웹 개발: Yeoman
도구를 활용한 더 나은 웹 개발: Yeoman도구를 활용한 더 나은 웹 개발: Yeoman
도구를 활용한 더 나은 웹 개발: Yeoman
 
NAVER의 웹/HTML5환경 대응 현황
NAVER의 웹/HTML5환경 대응 현황NAVER의 웹/HTML5환경 대응 현황
NAVER의 웹/HTML5환경 대응 현황
 
(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics(120128) #fitalk sql server anti-forensics
(120128) #fitalk sql server anti-forensics
 
클라우드 환경에서 알아야할 성능 이야기
클라우드 환경에서 알아야할 성능 이야기클라우드 환경에서 알아야할 성능 이야기
클라우드 환경에서 알아야할 성능 이야기
 
(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii
 
(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii(120325) #fitalk web browser forensics - part ii
(120325) #fitalk web browser forensics - part ii
 
장고로 웹서비스 만들기 기초
장고로 웹서비스 만들기 기초장고로 웹서비스 만들기 기초
장고로 웹서비스 만들기 기초
 
[오픈소스컨설팅] 스카우터 사용자 가이드 2020
[오픈소스컨설팅] 스카우터 사용자 가이드 2020[오픈소스컨설팅] 스카우터 사용자 가이드 2020
[오픈소스컨설팅] 스카우터 사용자 가이드 2020
 

More from INSIGHT FORENSIC

(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trendINSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifactsINSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식INSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur lsINSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)INSIGHT FORENSIC
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threatINSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensicsINSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threatINSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recoveryINSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in koreaINSIGHT FORENSIC
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memoryINSIGHT FORENSIC
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dumpINSIGHT FORENSIC
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropboxINSIGHT FORENSIC
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profileINSIGHT FORENSIC
 

More from INSIGHT FORENSIC (20)

(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
 
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile
 

(120616) #fitalk web browser forensics - part iii

  • 1. FORENSIC INSIGHT SEMINAR Web Browser Forensics : Part3 blueangel blueangel1275@gmail.com http://blueangel-forensic-note.tistory.com
  • 2. forensicinsight.org Page 2 / 26 목차 1. 웹 브라우저 로그 분석 : 심화 과정 • 통합 타임라인 분석 • Time Zone 분석 • 검색어 추출 • URL 인코딩 분석 • 사용자 행위 분류 • 삭제 로그 정보 복구 2. 결론
  • 3. forensicinsight.org Page 3 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
  • 4. forensicinsight.org Page 4 / 26 웹 브라우저 로그 분석 : 심화 과정 § 타임라인 분석? • 웹 브라우저의 사용 내역을 일련의 시간 흐름으로 재구성 • 사용자의 사이트간 이동경로를 파악, 전체적인 사용자 행위를 유추 § 통합 타임라인 분석의 필요성 • 한 명의 사용자가 여러 브라우저를 동시에 사용하는 경우가 많아짐 è 여러 브라우저의 로그를 하나의 타임라인 상에서 분석해 주는 도구 필요~!!! • 각 로그의 시간 정보를 기준으로 통합 통합 타임라인 분석 시간 정보
  • 5. forensicinsight.org Page 5 / 26 웹 브라우저 로그 분석 : 심화 과정 § 5대 웹 브라우저 모두 서로 다른 시간 포멧 사용 • 하나의 공통된 포멧으로 통일할 필요성이 있음 통합 타임라인 분석 웹 브라우저 시간 정보 포멧 Internet Explorer FILETIME: 100-nanosecond (10-9) Since January 1, 1601 00:00:00 (UTC+0) Firefox PRTime: microsecond(10-6) Since January 1, 1970 00:00:00 (UTC+0) Chrome WEBKIT Time: microsecond(10-6) Since January 1, 1601 00:00:00 (UTC+0) Safari CFAbsoluteTime: second Since January 1, 2001 00:00:00 (UTC+0) Opera UNIX Time: second Since January 1, 1970 00:00:00 (UTC+0)
  • 6. forensicinsight.org Page 6 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
  • 7. forensicinsight.org Page 7 / 26 웹 브라우저 로그 분석 : 심화 과정 § 5대 웹 브라우저 모두 UTC+0을 기준으로 시간 정보 저장 • 로그 수집 장소의 지역 시간으로 변경할 필요성이 있음 è 분석 도구의 타임존 변환 기능 필요~!!! • 예외적으로 지역 시간으로 저장되는 경우가 있음 è IE 주간 히스토리 정보의 접근 시간 타임존 분석
  • 8. forensicinsight.org Page 8 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
  • 9. forensicinsight.org Page 9 / 26 웹 브라우저 로그 분석 : 심화 과정 § 검색어? • 사용자의 의도와 관심사를 가장 명확하게 알 수 있는 키워드 • 웹 브라우저 포렌식 조사 과정에서 가장 중요한 정보 § 일반적으로 검색 엔진에 입력한 검색어는 Cache, History 로그의 URL에 기록됨 § 기본적인 URL 구조 § 구글 검색 엔진에서 “forensic” 키워드 검색시, 로그에 저장되는 URL http://www.google.co.kr/#sclient=psy&hl=ko&newwindow=1&source=hp&q=forensic&aq=f&aqi=g5 &aql=&oq=&pbx=1&fp=a03afb05b2691392&biw=1280&bih=939 검색어 추출
  • 10. forensicinsight.org Page 10 / 26 웹 브라우저 로그 분석 : 심화 과정 § 전세계 검색 엔진 점유율 ( 출처 : NetMarketShare, 2012년 6월 ) 검색어 추출
  • 11. forensicinsight.org Page 11 / 26 웹 브라우저 로그 분석 : 심화 과정 § 검색어 추출을 위한 각 검색 엔질 별 시그니처와 검색어 위치 검색어 추출 검색 엔진 도메인 시그니처 검색어 위치 Google google.com sclient 변수 “q” 의 값 Yahoo search.yahoo.com /search 변수 “p” 의 값 Baidu baidu.com /s 변수 “wd” 의 값 Bing bing.com /search 변수 “q” 의 값 Ask ask.com /web 변수 “q” 의 값 AOL search.aol.com /search/ 변수 “q” 의 값 Excite msxml.excite.com /results/ 경로 “/Web/” 뒤에 위치 Lycos Search.lycos.com 변수 “query” 의 값 Alta vista altavista.com /search 변수 “p” 의 값 MSN bing.com /search 변수 “q” 의 값 Naver naver.com /search 변수 “query” 의 값 Daum daum.net /search 변수 “q” 의 값 Nate nate.com /search 변수 “q” 의 값
  • 12. forensicinsight.org Page 12 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
  • 13. forensicinsight.org Page 13 / 26 웹 브라우저 로그 분석 : 심화 과정 § URL 에서 영어가 아닌 문자는 모두 인코딩됨 è URL 디코딩 필요~!!! URL 인코딩 분석
  • 14. forensicinsight.org Page 14 / 26 웹 브라우저 로그 분석 : 심화 과정 § 기본적인 URL 인코딩 방식 • 헥사코드로 표현 한 후, 1바이트단위로 ‘%’ 문자를 앞부분에 추가 è %ED%8F%AC%EB%A0%8C%EC%8B%9D § URL 인코딩 방식 분류 • UTF-8 인코딩 ü 1~4바이트 까지 사용, 1바이트 까지는 ASCII와 동일 EX) %ED%8F%AC%EB%A0%8C%EC%8B%9D è “포렌식” ü 전세계에서 가장 많이 사용하는 인코딩 형식 ü 검색 엔진 : www.google.co.kr, www.yahoo.co.kr, www.bing.com, www.ask.com … URL 인코딩 분석 코드 범위 UTF-16(UNICODE)표현 UTF-8 표현 설명 000000- 00007F 00000000 0xxxxxxx 0xxxxxxx ASCII와 동일한 범위 000080- 0007FF 00000xxx xxxxxxxx 110xxxxx 10xxxxxx 첫 바이트는 110으로 시작하고, 나머지 바이트들은 10으로 시작함 000800- 00FFFF xxxxxxxx xxxxxxxx 1110xxxx 10xxxxxx 10xxxxxx 첫 바이트는 1110으로 시작하고, 나머지 바이트들은 10으로 시작함 010000- 10FFFF 110110yy yyxxxxxx 110111xx xxxxxxxx 11110zzz 10zzxxxx 10xxxxxx 10xxxxxx UTF-16 서러게이트 쌍 영역 (yyyy = zzzzz - 1). UTF-8로 표시된 비트 패턴은 실제 코드 포인트와 동일하다.
  • 15. forensicinsight.org Page 15 / 26 웹 브라우저 로그 분석 : 심화 과정 § URL 인코딩 방식 분류(계속) • Unicode 인코딩 ü Unicode의 2바이트를 16진수 혹은 10진수 형식으로 인코딩 è %uHHHH or %26%23<십진수>%3B 형식으로 인코딩 됨 EX) %26%2354252%3B%26%2347116%3B%26%2349885%3B è “포렌식” ü 검색 엔진 : www.baidu.com • 코드 페이지 인코딩 ü 각 나라의 코드 페이지에 따라 인코딩하는 방식 ü 한국어의 경우, EUC-KR(한글 완성형) 코드표에 따라 2바이트 단위로 인코딩 됨 EX) %C6%F7%B7%BB%BD%C4 è “포렌식” ü 같은 HEX 값이라도 코드 페이지에 따라 의미하는 문자가 달라짐 è %C6%F7%B7%BB%BD%C4 è EUC-KR è “포렌식” è EUC-JP è “匂兄縦” è 사이트 혹은 국가별 구분 필요 ü 검색 엔진 : www.nate.com, www.paran.com URL 인코딩 분석
  • 16. forensicinsight.org Page 16 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
  • 17. forensicinsight.org Page 17 / 26 웹 브라우저 로그 분석 : 심화 과정 § 필요성 • URL 정보만으로는 사용자 행위를 바로 파악이 어려움 è 웹 브라우저를 통해 직접 웹 사이트를 방문 필요 è 시간 소모~ • 분석 효율성 증가 è 분석 시간 단축 ü 수 많은 로그 기록에서 사용자 행위 흐름을 한 눈에 파악 가능 ü 조사자가 찾고자 하는 사용자 행위를 빠르게 검색 사용자 행위 분류
  • 18. forensicinsight.org Page 18 / 26 웹 브라우저 로그 분석 : 심화 과정 § 분류 방법 • History URL은 웹 사이트 제작자에 의해 결정됨 è URL의 도메인과 Path에는 해당 웹 페이지의 특징과 역할을 나타내는 키워드 존재 • 키워드를 기반으로 사용자 행위 분류 ü 일반적인 키워드 : mail, lecture, map, news ü 특수 키워드 : facebook, twitter, è DB에 저장된 시그니처 사용 사용자 행위 분류 사용자 행위 일반 키워드 및 분류 방법 정보 획득 검색 검색어 추출이 가능하면 검색 행위로 분류 위키피디아 wikipedia 문서 보기 .doc(x), .ppt(x), .xls(x), .pdf, .txt … 블로그 blog 교육 lecture, study, learn 지도 map 뉴스 news 날씨 weather 사전 dic, dictionary 다운로드 ftp://, download 구입 쇼핑 shop, store 예약 reservation, ticket 인간관계 SNS DB 에 저장된 시그니처 사용(facebook.com, twitter.com ...) 커뮤니티 forum, cafe, club, group, community 채팅 chat 업무 메일 mail, email, e-mail 일정 calendar 클라우드 DB 에 저장된 시그니처 사용(docs.google.com, zoho, aws.amazon, racksace ... ) 은행업무 bank 신청 apply, application 등록 register 엔터테이먼트 game, movie, music, cartoon, sport, radio, adult, porn, sex
  • 19. forensicinsight.org Page 19 / 26 웹 브라우저 로그 분석 : 심화 과정 - 통합 타임 라인 분석 - Time Zone 분석 - 검색어 추출 - URL 인코딩 분석 - 사용자 행위 분류 - 삭제 로그 정보 복구
  • 20. forensicinsight.org Page 20 / 26 웹 브라우저 로그 분석 : 심화 과정 § 대부분의 웹 브라우저들은 로그 삭제 기능을 가지고 있음 è 웹 브라우저 포렌식 조사 과정을 어렵게 만듬 삭제된 로그 정보 복구
  • 21. forensicinsight.org Page 21 / 26 웹 브라우저 로그 분석 : 심화 과정 § 사용자 정보 삭제 기능 분류 • 초기화 : 해당 파일의 내용을 초기화 (0으로 혹은 파일 초기 상태로) • 파일 삭제 : 해당 파일을 파일 시스템에서 삭제 § 삭제 기능 분류에 따른 복구 가능 여부 • 초기화 : 복구 불가능 ü 유사 정보를 통한 복구 EX) History 정보가 초기화 되도 Session 정보가 삭제되는 경우가 있음 è 복구한 세션 파일의 정보를 통해 History 정보의 일부분을 복구 가능 • 파일 삭제 ü 파일 시스템 관점에서 삭제된 파일을 복구한 후, 삭제된 정보 추출 ü 카빙 기법을 통해 삭제된 파일 복구 가능 삭제된 로그 정보 복구
  • 22. forensicinsight.org Page 22 / 26 웹 브라우저 로그 분석 : 심화 과정 § 각 브라우저 별 로그 정보 삭제 방식 삭제된 로그 정보 복구 웹 브라우저 로그 정보 삭제 방식 IE Cache index.dat 파일의 데이터 초기화 임시 인터넷 파일 삭제 History index.dat 파일의 데이터 초기화 일간/주간 index.dat 파일 삭제 Cookie index.dat 파일의 데이터 초기화 Cookie 텍스트 파일 삭제 Download IE 8 이하는 다운로드 정보 없음 IE 9 다운로드 정보의 레코드는 삭제되지 않음(비활성화) Firefox Cache 초기화 History 초기화 Cookie 초기화 Download 초기화 Chrome Cache 파일 삭제 History 초기화 Cookie 초기화 Download 초기화 Safari Cache 초기화 History 초기화 Cookie 파일 삭제 Download 초기화 Opera Cache 초기화 History 초기화 Cookie 초기화 Download 초기화
  • 23. forensicinsight.org Page 23 / 26 웹 브라우저 로그 분석 : 심화 과정 § 각 브라우저 별 삭제된 로그 정보에 대한 복구 방식 삭제된 로그 정보 복구 웹 브라우저 로그 정보 Recovery Method IE Cache 삭제된 임시 인터넷 파일 복구 History 삭제된 일간/주간 index.dat 파일 복구 비할당 영역에서 일간/주간 index.dat 파일 카빙 Cookie 삭제된 Cookie 텍스트 파일 복구 Download IE 9 다운로드 정보의 레코드는 삭제되지 않음(비활성화) Firefox Cache N/A History 삭제된 Session 파일 복구 비할당 영역에서 session 파일 카빙 Cookie N/A Download N/A Chrome Cache 삭제된 Cache 파일 복구 History 삭제된 월간 History 파일 복구 Cookie N/A Download N/A Safari Cache N/A History 삭제된 Session 파일 복구 Cookie 삭제된 Cookie 파일 복구 Download N/A Opera Cache N/A History 삭제된 Session 파일 복구 Cookie N/A Download N/A
  • 25. forensicinsight.org Page 25 / 26 결론 § 단순히 로그 파일 파싱이 전부가 아니다~!! § 웹 브라우저 로그 분석에서 고려해야 할 사항 • 여러 웹 브라우저에 대한 통합 타임라인 분석 • Time Zone 적용 • 검색어 추출 • URL 인코딩 • 사용자 행위 분류 • 삭제된 로그 정보에 대한 복구 § 분석 시, 위 사항을 고려 및 지원해주는 도구 사용
  • 26. forensicinsight.org Page 26 / 26 질문 및 답변