판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다. 용의자가가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오.
웹브라우저 History에는 접속한 URL, 접속 횟수, 마지막 접속 시간, 접속 페이지 정보 등의 정보가 있다.
Interent Explorer는 Index.dat 파일에 History가 저장되는데, Windows 운영체제 버전에 따라서 저장되는 디렉터리가 다르다.
하지만 Internet Explorer 10 이상 부터는 WebcacheV01.dat과 같은 형식의 파일에 기록을 저장한다.
문제를 풀기 위해 주어진 파일을 다운 받아보자.
압축을 푼다. 근데 나는 여기서도 완전히 압축 풀기가 안되었다!
History를 보기 위해
위와 같은 경로로 파일을 열어본다.
이때 내가 열어본 파일은 7ester인데 용의자의 사용자 계정으로 추측되기 때문이다.
Internet Explorer 외에 다른 웹 브라우저의 흔적은 찾을 수 없으므로
IE 아티팩트 분석을 통해 문제를 해결해본다.
C:\User\<username>\AppData\Local\Microsoft\Windows\WebCache\ 디렉터리에서 WebcacheV24.dat파일을 찾을 수 있었다.
