Index.dat 분석

By On September 4, 2009 · 4 Comments

index.dat 파일은 사용자가 방문한 모든 웹사이트에 대한 URL, 웹페이지 목록 등이 기록된다.  게다가 Outlook이나 Outlook Express를 통해 주고 받은 이메일에 대한 정보도 기록된다. 기본적으로 시스템에 의해 보호된 파일이기 때문에 윈도우즈 운영체제의 기본모드에서는 확인할 수 없다. 폴더옵션에서 ‘보호된 운영체제 파일 숨기기’ 모드를 체크 해제하게 되면 확인할 수 있다.

마이크로소프트에 의하면 이 파일의 목적은 한번 방문한 페이지를 재 방문할 경우 Internet Explorer 상에서 로딩 속도를 빠르게 하기 위한 캐시 역할을 한다고 말하고 있다. 인터넷 옵션을 통해 히스토리, 임시파일, 쿠키 등을 삭제할 경우 해당 내용을 가지고 있는 텍스트파일들을 사라지지만 index.dat 파일은 초기화만 된다. 만약 캐시를 원하지 않을 경우에는 별도의 index.dat 파일을 삭제하는 도구를 사용해야 한다.
index.dat 파일은 쿠키, 히스토리, 인터넷임시파일 폴더의 정보가 기록되어 있기 때문에 사용자의 인터넷 사용 패턴이나 접속 기록 등을 확인할 수 있다. 만약, 샘플이 많이 주어진다면 데이터마이닝을 통해 의미있는 정보를 도출할 수도 있을 것이다. 따라서, 이러한 정보들이 사용 패턴을 이용해 공격을 사용하는 등의 악의적인 목적으로도 사용될 수 있을 것이다.

반면 디지털 포렌식 관점에서는 용의자의 행위를 규명하는데 사용할 수도 있을 것이다. 어떤 범죄 행위를 하기 위해서는 우발적인 범행을 제외하고는 준비가 선행된다. 그러한 준비를 위해서 인터넷이 사용될 것이다. 흔한 예로 건물 침입의 경우 최근 구글맵을 통하면 주변 상황을 직접 방문하지 않고서도 자세히 볼 수 있다. 그리고 흉기가 사용될 경우 흉기에 대한 정보도 인터넷으로 얻을 수 있다. 따라서 용의자의 컴퓨터의 index.dat 파일을 통해 검색어, 검색 시간 등을 추출한다면 의미있는 증거를 찾을 수 있을 것이다.

다음은 윈도우 운영체제 버전별 index.dat 파일의 위치이다.  (단, 시스템 드라이브는 C: 이다.)

On Windws Vista Computer, index.dat files are located : 
C:\Users\<Username>\AppData\Roadming\Microsoft\Windows\Cookies\index.dat
C:\Users\<Username>\AppData\Roadming\Microsoft\Windows\Cookies\low\index.dat
C:\Users\<Username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ index.dat
C:\Users\<Username>\AppData\Local\Microsoft\Windows\History\Content.IE5\index.dat


On Windows 2000 and Windows XP  there are several “index.dat” files in these locations:
C:\Documents and Settings\<Username>\Cookies\index.dat
C:\Documents and Settings\<Username>\Local Settings\History\History.IE5\index.dat
C:\Documents and Settings\<Username>\Local Settings\History\History.IE5\MSHist012001123120020101\index.dat
C:\Documents and Settings\<Username>\Local Settings\History\History.IE5\MSHist012002010720020114\index.dat
C:\Documents and Settings\<Username>\Local Settings\Temporary Internet Files\Content.IE5\index.dat


On Windows 9x Computer these files are located in the following locations:
C:\WINDOWS\Cookies\index.dat
C:\WINDOWS\History\index.dat
C:\WINDOWS\Temporary Internet Files\index.dat
C:\WINDOWS\Cookies\index.dat
C:\WINDOWS\History\index.dat
C:\WINDOWS\Temporary Internet Files\index.dat 


index.dat의 내용을 확인하기 위한 도구는 인터넷에 검색을 하면 쉽게 찾을 수 있다.


다음은 Index.dat Analyzer를 통해 확인한 인터넷 임시파일에 대한 Index.dat 분석 결과이다.

위의 URL을 통해 해당 사이트의 URL 형식을 확인한다면 검색어도 추출할 수 있을 것이다. 몰론 URL로 보이는 내용은 URL 인코딩이 되어있기 때문에 디코딩해서 살펴볼 수 있다. 궁금하다면 앞에서 소개한 무료 도구들을 이용해 한번 확인해보자.

Tagged with:
 
If you enjoyed this article, please consider sharing it!
Facebook Twitter
  • http://굿 조음

    잘보고갑니다.감사합니다.

    • http://forensic-proof.com 프로니어

      자주 들려주세요..^^

  • http://www.facebook.com/people/Kim-Minwoo/100002559723919 Kim Minwoo

    11월 26일 디지털포렌식 전문가 실기시험을 앞두고 열심히 독학으로 공부하고 있습니다.
    index.dat 분석하다가 막힌 부분이 두가지가 있었습니다.
    하나는 History폴더의 index.dat 파일에서 포털사이트 검색어 기록이 인코딩되어 이것을 식별하기 어렵다는 점과
    나머지는 FTK Imager로 Temporary Internet File폴더의 index.dat파일을 못찾는다는 점이었습니다
    구글링 끝에 이 포스트를 발견하고 많은 도움이 되었습니다.
    매번 난관에 봉착할 때마다 사이트에서 많은 정보를 얻고 갑니다.
    시험 끝나면 글 하나하나 다시 탐독해봐야겠습니다.
    운영자님의 열정에 감사드립니다

    • http://www.facebook.com/proneer Jinkook Kim

      접근한 URL에서 검색어를 뽑아내는 작업은 각 사이트마다 규칙을 잘 이해야햐 합니다. 대부분 “q=” 인자로 검색어를 받기는 하는데 이게 포털마다 조금 틀려서 규칙을 다 적용해주어야 합니다. 그리고 대부분 영어 검색어의 경우, URL 표준에서 정의한 문자(http://blooberry.com/indexdot/html/topics/urlencoding.htm)를 제외한 문자만 인코딩되지만 한글의 경우에는 멀티바이트, 유니코드, UTF-8 형식으로 인코딩 됩니다.
      인코딩 형식은 포털마다 다르기 때문에 포털에서 사용하는 인코딩 형식을 확인한 후 형식에 맞게 디코딩하면 됩니다.
      그리고 임시 인터넷 파일 폴더에서 “index.dat”를 못찾는다는 이야기는 제가 정확한 환경을 몰라서 답변드리기가 어렵겠네요. 하위 “Content.IE5″ 폴더를 확인하신 건가요? 윈도우 7 환경이라면 Roaming, Low가 아닌 Local 폴더로 들어가셔야 하는데 그것도 맞으신건가요? 이것에 대해서는 좀 더 정확한 설명을 해주시면 알려드리겠습니다.