프로니어| Security is a people problem...
index.dat 파일은 사용자가 방문한 모든 웹사이트에 대한 URL, 웹페이지 목록 등이 기록된다. 게다가 Outlook이나 Outlook Express를 통해 주고 받은 이메일에 대한 정보도 기록된다. 기본적으로 시스템에 의해 보호된 파일이기 때문에 윈도우즈 운영체제의 기본모드에서는 확인할 수 없다. 폴더옵션에서 '보호된 운영체제 파일 숨기기' 모드를 체크 해제하게 되면 확인할 수 있다.
마이크로소프트에 의하면 이 파일의 목적은 한번 방문한 페이지를 재 방문할 경우 Internet Explorer 상에서 로딩 속도를 빠르게 하기 위한 캐시 역할을 한다고 말하고 있다. 인터넷 옵션을 통해 히스토리, 임시파일, 쿠키 등을 삭제할 경우 해당 내용을 가지고 있는 텍스트파일들을 사라지지만 index.dat 파일은 초기화만 된다. 만약 캐시를 원하지 않을 경우에는 별도의 index.dat 파일을 삭제하는 도구를 사용해야 한다.
index.dat 파일은 쿠키, 히스토리, 인터넷임시파일 폴더의 정보가 기록되어 있기 때문에 사용자의 인터넷 사용 패턴이나 접속 기록 등을 확인할 수 있다. 만약, 샘플이 많이 주어진다면 데이터마이닝을 통해 의미있는 정보를 도출할 수도 있을 것이다. 따라서, 이러한 정보들이 사용 패턴을 이용해 공격을 사용하는 등의 악의적인 목적으로도 사용될 수 있을 것이다.
반면 디지털 포렌식 관점에서는 용의자의 행위를 규명하는데 사용할 수도 있을 것이다. 어떤 범죄 행위를 하기 위해서는 우발적인 범행을 제외하고는 준비가 선행된다. 그러한 준비를 위해서 인터넷이 사용될 것이다. 흔한 예로 건물 침입의 경우 최근 구글맵을 통하면 주변 상황을 직접 방문하지 않고서도 자세히 볼 수 있다. 그리고 흉기가 사용될 경우 흉기에 대한 정보도 인터넷으로 얻을 수 있다. 따라서 용의자의 컴퓨터의 index.dat 파일을 통해 검색어, 검색 시간 등을 추출한다면 의미있는 증거를 찾을 수 있을 것이다.
다음은 윈도우 운영체제 버전별 index.dat 파일의 위치이다. (단, 시스템 드라이브는 C:\ 이다.)
On Windws Vista Computer, index.dat files are located : C:\Users\<Username>\AppData\Roadming\Microsoft\Windows\Cookies\index.dat
C:\Users\<Username>\AppData\Roadming\Microsoft\Windows\Cookies\low\index.dat
C:\Users\<Username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 \index.dat
C:\Users\<Username>\AppData\Local\Microsoft\Windows\History\Content.IE5\index.dat
On Windows 2000 and Windows XP there are several "index.dat" files in these locations:
C:\Documents and Settings\<Username>\Cookies\index.dat
C:\Documents and Settings\<Username>\Local Settings\History\History.IE5\index.dat
C;\Documents and Settings\<Username>\Local Settings\History\History.IE5\MSHist012001123120020101\index.dat
C:\Documents and Settings\<Username>\Local Settings\History\History.IE5\MSHist012002010720020114\index.dat
C:\Documents and Settings\<Username>\Local Settings\Temporary Internet Files\Content.IE5\index.dat
On Windows 9x Computer these files are located in the following locations:
C:\WINDOWS\Cookies\index.dat
C:\WINDOWS\History\index.dat
C:\WINDOWS\Temporary Internet Files\index.dat
C:\WINDOWS\Cookies\index.datC:\WINDOWS\History\index.dat
C:\WINDOWS\Temporary Internet Files\index.dat
index.dat의 내용을 확인하기 위한 도구는 인터넷에 검색을 하면 쉽게 찾을 수 있다.
다음은 Index.dat Analyzer를 통해 확인한 인터넷 임시파일에 대한 Index.dat 분석 결과이다.
위의 URL을 통해 해당 사이트의 URL 형식을 확인한다면 검색어도 추출할 수 있을 것이다. 몰론 URL로 보이는 내용은 URL 인코딩이 되어있기 때문에 디코딩해서 살펴볼 수 있다. 궁금하다면 앞에서 소개한 무료 도구들을 이용해 한번 확인해보자.
index.dat 파일은 사용자가 방문한 모든 웹사이트에 대한 URL, 웹페이지 목록 등이 기록된다. 게다가 Outlook이나 Outlook Express를 통해 주고 받은 이메일에 대한 정보도 기록된다. 기본적으로 시스템에 의해 보호된 파일이기 때문에 윈도우즈 운영체제의 기본모드에서는 확인할 수 없다. 폴더옵션에서 '보호된 운영체제 파일 숨기기' 모드를 체크 해제하게 되면 확인할 수 있다.
마이크로소프트에 의하면 이 파일의 목적은 한번 방문한 페이지를 재 방문할 경우 Internet Explorer 상에서 로딩 속도를 빠르게 하기 위한 캐시 역할을 한다고 말하고 있다. 인터넷 옵션을 통해 히스토리, 임시파일, 쿠키 등을 삭제할 경우 해당 내용을 가지고 있는 텍스트파일들을 사라지지만 index.dat 파일은 초기화만 된다. 만약 캐시를 원하지 않을 경우에는 별도의 index.dat 파일을 삭제하는 도구를 사용해야 한다.
index.dat 파일은 쿠키, 히스토리, 인터넷임시파일 폴더의 정보가 기록되어 있기 때문에 사용자의 인터넷 사용 패턴이나 접속 기록 등을 확인할 수 있다. 만약, 샘플이 많이 주어진다면 데이터마이닝을 통해 의미있는 정보를 도출할 수도 있을 것이다. 따라서, 이러한 정보들이 사용 패턴을 이용해 공격을 사용하는 등의 악의적인 목적으로도 사용될 수 있을 것이다.
반면 디지털 포렌식 관점에서는 용의자의 행위를 규명하는데 사용할 수도 있을 것이다. 어떤 범죄 행위를 하기 위해서는 우발적인 범행을 제외하고는 준비가 선행된다. 그러한 준비를 위해서 인터넷이 사용될 것이다. 흔한 예로 건물 침입의 경우 최근 구글맵을 통하면 주변 상황을 직접 방문하지 않고서도 자세히 볼 수 있다. 그리고 흉기가 사용될 경우 흉기에 대한 정보도 인터넷으로 얻을 수 있다. 따라서 용의자의 컴퓨터의 index.dat 파일을 통해 검색어, 검색 시간 등을 추출한다면 의미있는 증거를 찾을 수 있을 것이다.
다음은 윈도우 운영체제 버전별 index.dat 파일의 위치이다. (단, 시스템 드라이브는 C:\ 이다.)
On Windws Vista Computer, index.dat files are located : C:\Users\<Username>\AppData\Roadming\Microsoft\Windows\Cookies\index.dat
C:\Users\<Username>\AppData\Roadming\Microsoft\Windows\Cookies\low\index.dat
C:\Users\<Username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 \index.dat
C:\Users\<Username>\AppData\Local\Microsoft\Windows\History\Content.IE5\index.dat
On Windows 2000 and Windows XP there are several "index.dat" files in these locations:
C:\Documents and Settings\<Username>\Cookies\index.dat
C:\Documents and Settings\<Username>\Local Settings\History\History.IE5\index.dat
C;\Documents and Settings\<Username>\Local Settings\History\History.IE5\MSHist012001123120020101\index.dat
C:\Documents and Settings\<Username>\Local Settings\History\History.IE5\MSHist012002010720020114\index.dat
C:\Documents and Settings\<Username>\Local Settings\Temporary Internet Files\Content.IE5\index.dat
On Windows 9x Computer these files are located in the following locations:
C:\WINDOWS\Cookies\index.dat
C:\WINDOWS\History\index.dat
C:\WINDOWS\Temporary Internet Files\index.dat
C:\WINDOWS\Cookies\index.dat
C:\WINDOWS\Temporary Internet Files\index.dat
index.dat의 내용을 확인하기 위한 도구는 인터넷에 검색을 하면 쉽게 찾을 수 있다.
다음은 Index.dat Analyzer를 통해 확인한 인터넷 임시파일에 대한 Index.dat 분석 결과이다.
위의 URL을 통해 해당 사이트의 URL 형식을 확인한다면 검색어도 추출할 수 있을 것이다. 몰론 URL로 보이는 내용은 URL 인코딩이 되어있기 때문에 디코딩해서 살펴볼 수 있다. 궁금하다면 앞에서 소개한 무료 도구들을 이용해 한번 확인해보자.
'Data Foreniscs' 카테고리의 다른 글
| INFO2 File Analysis (0) | 2009/10/23 |
|---|---|
| 어플리케이션 바인딩 (Application Binding) (0) | 2009/10/17 |
| Windows Recycle Bin Analysis (0) | 2009/10/16 |
| 휴지통 아이콘 제거/복구 (3) | 2009/10/07 |
| Flash Cookie Forensics (4) | 2009/09/28 |
| Index.dat (2) | 2009/09/04 |
TAG index.dat
댓글을 달아 주세요
잘보고갑니다.감사합니다.
2010/02/01 11:11 [ ADDR : EDIT/ DEL : REPLY ]자주 들려주세요..^^
2010/02/01 22:35 [ ADDR : EDIT/ DEL ]