[흔적] 윈도우 사용 흔적의 보고 IE? 백배강화

이글은 내가 작성한게 아니라 거의 다 배껴왔다.(부끄부끄-_-)
글을 읽다 참 유용해서 나중에 참고 하려고 좀 퍼왔다.
파코즈 란 곳에서 퍼왔는데 그냥 막 퍼와도 될런진 정확히 잘은 모르겠다.
문제가 제기 되면 바로 삭제해야겠다.
:: 윈도우나 인터넷 검색 조사시에 꽤나 유용하고도 쉬운 자료이다.

출처: 파코즈 팁


국내 점유율 99%(출처)가 넘는 웹브라우저 Internet Explorer는 컴퓨터를 해 본 사람이라면
누구나 써봤을 프로그램입니다. IE는 사용자가 인식하지 못하는 사이에 각종 기록을 남깁니다.

그 중 대표적인 것이 쿠키, 캐시, 히스토리, 자동완성, Index.dat 입니다.


쿠키
에 대한 설명은 아래를 참고하세요.
 


고객이 특정 홈페이지를 접속할 때 생성되는 정보를 담은 임시 파일로 크기는 4KB 이하로 작다. 쿠키는 애초 인터넷 사용자들의 홈페이지 접속을 돕기 위해 만들어졌다. 특정 사이트를 처음 방문하면 아이디와 비밀번호를 기록한 쿠키가 만들어지고 다음에 접속했을 때 별도 절차 없이 사이트에 빠르게 연결할 수 있다.

쿠키는 사용하는 웹브라우저가 자동으로 만들기도 하고 갱신하기도 하며
웹사이트로 기록을 전달하기도 한다. 따라서 개인의 사생활을 침해할 소지가 있다. 이용자가 인터넷에서 어떤 내용을 봤는지, 어떤 상품을 샀는지 등 모든 정보가 기록되기 때문이다. 온라인 광고업체들은 쿠키를 이용해서 인터넷 사용자의 기호 등을 수집·분석해 광고전략을 짜는 데 유용하게 활용해왔다.

또 보안문제를 유발하기도 한다. 회원번호나 비밀번호 등이 유출될 가능성이 있기 때문이다. 그래서
마이크로소프트인터넷 익스플로러5.0 이상에서는 쿠키 거부 기능을 첨가했다.



캐시란 도구 > 인터넷 옵션에서 보이는 '임시 인터넷 파일'을 말합니다.

사용자가 웹 사이트를 다시 방문할 때 새로 이미지나 텍스트를 받을 필요 없이 빠르게 보여주기 위해

Tempory Internet Files 폴더에 저장된 파일들입니다.


히스토리
는 도구 > 인터넷 옵션에서 보이는 '열어본 페이지 목록'을 말합니다.

이 히스토리는 Windows 98 부터 explorer.exe(쉘)과 iexplorer.exe(IE)가 결합하면서(경계가 모호)

웹 사이트 방문 기록 뿐 아니라 사용자가 컴퓨터를 사용하며 열어본 파일들까지 일일히 저장합니다.


이를 확인하는 방법은 다음과 같습니다. '표준 단추' 툴바의 기록 버튼을 눌러보세요.

여러 웹 기록들 사이에 '내 컴퓨터'라는 부분이 있습니다.


내 컴퓨터(탐색기)를 여는 방법은 시작 > 실행에 explorer.exe 로 가능합니다.

(작업표시줄, 바탕화면 등을 보여주는 기본 쉘 역시 explorer.exe - 이미 로딩된 상태)

Internet Explorer가 explorer.exe 를 통해 열게된 파일들까지 기록하는 것으로

Windows 98부터 explorer.exe 와 iexplore.exe 가 통합(연계된 활동을 함)되었음을 확인할 수 있습니다. 

이것은 Everest 프로그램을 통해서도 확인이 가능합니다. 마지막 접근 시간까지 알 수 있습니다.

보시면 http 프로토콜이 있고 file 프로토콜이 있습니다. 후자는 열어본 파일을 의미합니다.

또한, 시작 > 실행 혹은 IE, 탐색기 등(explorer.exe)에 file 프로토콜을 입력함으로 확인이 가능합니다.

폴딩된 내용과 더불어 아래에도 소개하겠지만 위험성을 직시하기 위해 아래의 블로그를 방문해보세요.

http://xpcd.tistory.com/36  프로그램을 실행시키기 위해 .Net Framework 2.0 설치가 필요합니다.

달력에서 원하는 볼드처리된 날짜를 선택하면 그 날의 인터넷 사용기록, 파일 사용기록을 확인할 수 있습니다.

자동완성 기능이란 웹페이지의 폼 형태로 입력창에 글을 입력할 때 입력된 글을 보호되는 자료공간에

저장하였다가 후에 같은 입력창에서 입력을 시도할 때 저장했던 정보를 보여줌으로써 입력을 도와줍니다.

아래에 소개하는 프로그램을 통해 자동완성된 ID, 비밀번호와 입력폼들의 값을 확인할 수 있습니다.


아래와 같은 입력폼을 더블클릭 하면 그 입력폼과 같은 이름에 저장된 자동완성 데이터를 볼 수 있습니다.

( HTML 태그에서 <input type="text" name="comment" ....> 여기서 name)

이는 도구 > 인터넷 옵션 > 내용 탭 > 자동완성 에서 설정할 수 있습니다.

보통 레지스트리 트윜을 적용하는 튜닝 윈도우가 아닌 순수 윈도우는 아래와 같이 체크되어 있습니다.

(유명한 튜닝윈도우 - JMXP, June XP, 문근영버전, BlackEdition, Dongtie, Snoopy, Juya XP, Nex Edition 등)

Index.dat 이란, 위에서 말씀드린 각종 기록들을 제거해도 계속 정보를 모으는 파일입니다.

기본적으로 각 사용자별 '히스토리, 쿠키, 캐시' 3개의 상위 폴더에 하나씩 존재합니다.

Cyber Forensic을 위해서인지 왜 MS가 이렇게 기록을 계속 모으는지는 모르겠지만 이 파일은

도구 > 인터넷 옵션 > 파일 삭제, 쿠키 삭제, 기록 삭제를 하더라도 계속 정보를 모읍니다.

뿐만 아니라 실시간으로 기록하기 위해 메모리에 계속 로드되어 사용자가 임의로 삭제할 수도 없습니다.


 IE의 각종 기록들에 대해서 알아보았고 이제 그것들을 간편하게 확인하는
뷰어 프로그램들을 소개하겠습니다. (일부 프로그램은 값 변환도 가능합니다.)


앞서 다운받으신 파일의 압축을 풀면 10개의 파일이 있습니다. 차례로 살펴보겠습니다. 

1. CHViewer_.exe 입니다. 쿠키, 히스토리, 주소표시줄에 입력한 URL, Index.dat, 자동완성 정보 뿐 아니라
내 최근문서(Recent Documents), 실행 목록(시작 > 실행), 최근 열고 저장한 파일 등을 확인할 수도 있습니다.
(왼쪽 아래 'Windows' 부분은 후에 그러한 기록을 남기지 않는 레지스트리 수정법 등에 대해 팁으로 설명하겠습니다.)


2. chviewer.exe 입니다. 쿠키, 히스토리, 주소표시줄에 입력한 URL 을 확인할 수 있습니다.

Hit rate를 통해 접속 빈도 또한 확인 가능하고, 오른쪽 아래 프레임에서는 바로 관련 내용을 확인할 수 있습니다.


3. iehv.exe 입니다. 역시 Hits를 통해 빈도 확인이 가능합니다. URL에 제가 밑줄 쳐놓은 부분은

네이트온을 실행시킬 경우 뜨는 팝업창인데요. 이를 통해 네이트온 실행 횟수를 알 수도 있습니다.

Windows Live 메신저 등도 Live 투데이 창 주소를 통해 확인이 가능하겠죠..

만약 네이버 뉴스 IT/과학 파트주소가 남았다면 이 주소가 Hits 상위에 존재한다면 그 사용자는

IT혹은 과학소식에 관심이 많거나 관련분야 종사자일 가능성이 있겠죠? 활용도는 무한합니다.


4. iecv.exe 입니다. 100.naver 쿠키의 정보를 통해 제가 검색한 단어를 확인하는 모습입니다.

자주 접속하는 사이트, 자동 저장된 ID/PW, 사이트에서 남기는 사용자의 기록들 등 정보를 얻을 수 있습니다.


5. pspv.exe 입니다. 자동완성 정보를 보여줍니다. File > Save Raw Data 를 통해 외부로 저장할 수 있습니다.

Resource Name 을 보시면 생일, 제목, 주소, 검색 키워드 등 다양한 정보 확인이 가능합니다.

대표적인 것으로 싸이월드 댓글, 네이버 댓글제목, 생년월일(간혹 주민번호 뒷자리), 이메일, 아이디 등이 있습니다.


Kaspersky 사전방역 레지스트리 실시간 감시를 사용하고 있는 사용자는 아래와 같은 창을 보실 수 있습니다.

혹은, 휴리스틱 기능을 지원하는 백신들을 중심으로 몇몇 백신에서 '패스워드 영역에 접근하는 프로그램'으로서

바이러스 혹은 악성코드로 감지하기도 합니다.

이는 Windows 2000 이상의 OS에서 아래와 같은 서비스로 방어되고 있기 때문인데

소개시켜 드린 프로그램들은 Protected Storage 를 접근할 수 있는 유일한 인터페이스인

pstorec.dll 에 포함된 PStoreCreateInstance 함수를 통해서 가능합니다.

이 서비스가 보호하는 자동 완성정보는 레지스트리의 암호화된 구역에 존재합니다.


6. AutoViewer.exe 입니다. 5번의 프로그램과 같은 기능을 합니다. TXT 포맷을 이용해 외부로 저장할 수 있구요.


7. HistoryMonitor.exe 입니다. File > Export 를 통해 전체 목록을 HTML 포맷으로 저장할 수 있습니다.

열린 파일(Local URL), FTP 프로토콜, HTTP 암호화 프로토콜(HTTPS) 등 색깔을 분류해 확인의 편의를 제공합니다.


8. SecretsViewer.exe 입니다. File > Save All 을 통해 외부로 저장할 수 있습니다.


9. index.exe 입니다. Index.dat 에서만 추출한 내용입니다. 원하는 항목의 체크박스를 선택하고(혹은 Edit > Check All)

Edit > Delete Checked Items.. 혹은 툴바의 X버튼을 눌러주시면 실시간으로 선택항목을 삭제할 수 있습니다.


10. IndexDatSpy.exe 입니다. File > Find Index.dat Files... 를 통해 Index.dat를 찾을 수 있습니다.



마지막으로, IE의 정보를 포함하여 모든 Windows의 기록들을 한번에 지울 수 있는 프로그램인 C-Cleaner 입니다.

인터넷 탭 > 인터넷 익스플로러의 '인덱싱 파일'부분이 Index.dat 파일들을 의미합니다.

위에서 말씀드렸다시피 Index.dat 파일은 explorer.exe와 iexplore.exe의 종료가 선행되어야 하므로 재부팅시

예약된 명령에 의해 삭제되게 됩니다. (수동으로 삭제하려면 두 프로세스를 강제종료하고 cmd에서 del명령으로 삭제)




간단 메모














구글리더공유

내 전자서재


encykei[at]gmail[dot]com