Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- AWS 쿠버네티스
- 정보보안기사
- 해킹
- 보안
- AWS Elasticsearch
- 포렌식
- 정보보안기사 실기
- AWS Opensearch
- SMS-P 인증 기준 안내서 요약
- ISMS
- AWS
- hacking case
- iam
- Autopsy
- AWS EKS
- 정보보안
- isms-p
- ISMS-P 인증심사원
- 쿠버네티스
- AWS EKS Udemy
- 보안기사
- 모의해킹
- k8s
- The Sleuth Kit
- 실습
- CFReDS
- forensic
- TSK
- kubernetes
- artifacts
Archives
- Today
- Total
Always-Try(정보보안 및 일상)
포렌식/윈도우 - Windows 10 Artifacts - Web History 본문
본 게시글은 인프런 '맥으로 배우는 윈도우즈 포렌식'를 참고하여 작성했습니다. (www.inflearn.com/course/forensic-2/dashboard)
#1. Web History
1-1. Web History 란?
설명이 필요한가?
아래는 IE 기준 파일이다. WebCacheV01.dat 파일은 EseDbViewer로 보면 편하게 볼 수 있다.
다만, WebCacheV01.dat의 모든 정보가 다 Web History에 관한 파일은 아니다. 아래 사진과 Directory/Value가 맞는 것만이 Web History에 관한 정보이고 추가로 캐시나 쿠키 다운로드 기록등도 눈여겨 볼만하다.
강의에서는 ese.py 파일을 이용하여 직접 webcachev01.dat 파일을 파싱했다.
ese.py는 크게 아래와 같이 코딩되어 있다.
여기서는 왜 log2timeline , plaso를 안썼냐?
걔네가 이 파일을 파싱하지 못하기 때문이다. 그래서 파싱하는 코드를 만들었다.
이런식으로 도구가 지원하지 않는 것은 코드로 구현하는 것이 필요하다.
끝.
'Forensic' 카테고리의 다른 글
포렌식/윈도우 - E01에서 아티팩트 추출 (E01에서 추출한 아티팩트를 타임라인 순으로 csv 저장 실습) (0) | 2021.03.01 |
---|---|
포렌식/윈도우 - Carving (PE 파일 추출 실습 포함-with 010 Editor) (0) | 2021.02.28 |
포렌식/윈도우 - Windows 10 Artifacts - Prefetch (0) | 2021.02.27 |
포렌식/윈도우 - Windows 10 Artifacts 개요 (추출 실습 포함) (0) | 2021.02.27 |
포렌식 기초 - Slack Space 추출 (0) | 2021.02.27 |
Comments