[Digital Forensic] Windows Google Chrome Browser Incognito Mode Analysis

Browser Forensic

디지털 포렌식에서 웹 브라우저 아티팩트 분석은 사용자가 특정 웹 브라우저에서 어떤 인터넷 행위를 했는지 확인할 수 있기 때문에 중요한 분석 과정으로 여겨진다.

 

본글은 Google의 Chrome 브라우저를 대상으로 Incognito Mode가 적용된 환경에서 아티팩트 분석을 진행하고, Incognito Mode 사용시 남게되는 아티팩트의 위치를 확인한다.

 

 

 

 

 

Scenario

본 실습은 Windows 11의 VM에서 진행하며, Chrome Browser를 Incognito Mode로 실행해 '검색어', '다운로드', '방문 URL' 기록이 존재할 수 있는 시나리오를 재현한다.

 

실습 환경에서의 시나리오 내용은 다음과 같고, 아래의 사진은 실습 환경 재현의 모습이다.
1. 'Best of the best 13기' 검색 후 BoB 사이트에 방문하여 pdf 파일을 다운로드한다.

2. 'Team H4C' 검색 후 H4C 사이트에 방문한다.
3. Chrome의 '인터넷 사용 기록 삭제' 기능을 이용해 인터넷 검색 및 방문 기록을 삭제한다.

4. DumpIt을 이용해 Memory Dump를 수행한다.

 

 

 

Incognito Mode Artifact Analysis

본 문단은 이전 문단에서 서술한 시나리오로 실습 환경을 재현하고, 실제 아티팩트 분석을 진행해 Incognito Mode 사용시 남게되는 아티팩트를 확인한다. 아래는 본 문단에서 아티팩트 분석을 진행할 영역에 대한 목록으로, 각 분석 영역에 따른 아티팩트 분석 결과를 포함한다.

 

1. History, History-journal File

 - Incognito Mode 사용시 사용자 행위 데이터를 History 파일에 업데이트 하는지 확인한다.

 

FTK Imager로 History 파일을 추출하고, SQLite DB로 'downloads', 'keyword_search_terms', 'urls' Table에 Record 정보가 존재하는지 확인한다.

History

SQLite DB 확인결과, 내부 Record가 존재하지 않다. 구체적으로 History 파일에 사용자 행위 데이터가 기록되고 secure delete 모드로 삭제가 된 것인지, 애초에 기록이 되지않은 것인지 확인하기위해 History-journal 파일을 추가 분석한다.

 - History-journal 파일에 할당되었던 모든 RunList를 $LogFile에서 추출하고, Cluster 영역 추출 및 분석을 진행해 History 파일의 데이터 삭제 이벤트 존재 여부를 확인한다.

아래는 History-journal 파일의 MFT Entry 모습이다.

$LogFile 분석결과 하나의 RunList만이 존재한다.

해당 RunList를 해석해 Data Cluster 영역에 접근해 History 파일의 Record 삭제 이벤트 존재여부를 판별한다. 아래는 Data Cluster 영역의 유일한 정보로, History 파일의 기본 업데이트 정보만이 존재한다. 즉, Chrome Browser의 Incognito Mode는 사용자 행위 데이터를 History 파일에 기록조차 하지 않는다.

 

 

2. MFT Entry
 - 다운로드한 파일이 존재하는 경우, MFT Entry 할당 여부를 확인한다.

 

바탕화면에 '2024_BoB_13.pdf' 파일을 다운로드 했으므로, 해당 파일을 FTK Imger로 접근해 MFT Number를 획득하고, 해당 MFT Number로 $MFT 파일에 '2024_BoB_13.pdf' 파일의 MFT Entry에 접근해, 다운로드한 파일의 MFT Entry 존재 여부를 확인한다. '2024_BoB_13.pdf' 파일의 MFT Entry가 존재한다.

MFT Number of '2024_BoB_13.pdf' File

MFT Entry of '2024_BoB_13.pdf' File

 

 

3. Unallocated Area
 - Incognito Mode 사용시 사용자가 방문한 URL 정보가 Disk의 비할당영역에 존재하는지 확인한다.

 

FTK Imager로 Disk의 비할당영역을 추출하고, Chrome Browser의 URL 정보를 검색해 사용자가 방문한 URL 정보가 존재하는지 확인한다. 검색 결과가 존재하지 않다.

 

4. Page File (pagefile.sys)

 - Incognito Mode 사용시 사용자가 방문한 URL 정보가 Page File에 존재하는지 확인한다.

 

FTK Imager로 'pagefile.sys' 파일을 추출하고, Chrome Browser의 URL 정보를 검색해 사용자가 방문한 URL 정보가 존재하는지 확인한다. 검색 결과가 존재하지 않다.

 

 

5. Disk (Image File)

 - Incognito Mode 사용시 사용자가 방문한 URL 정보가 Disk에 존재하는지 확인한다.

 

FTK Imager로 Disk를 이미징하고, Chrome Browser의 URL 정보를 검색해 사용자가 방문한 URL 정보가 존재하는지 확인한다. Chrome의 정보만 존재할 뿐, 사용자 행위 URL 정보는 존재하지 않다.

 

 

6. Memory Dump File

 - Incognito Mode 사용시 사용자가 방문한 URL 정보가 Memory에 존재하는지 확인한다.

 

DumpIt으로 물리 메모리 영역을 덤프하고, Chrome Browser의 URL 정보를 검색해 사용자가 방문한 URL 정보가 존재하는지 확인한다. 363개의 URL이 존재하고, 대부분의 URL이 사용자 행위와 관련된 URL 정보이다.

 

 

 

 

 

Conclusion

결과적으로 NTFS 파일 시스템에서 Chrome 브라우저를 Incognito Mode로 사용할 경우, 사용자 행위 데이터를 History 파일을 포함한 Disk 영역 자체에 기록을 하지 않는다. 다만, 파일 다운로드의 경우 NTFS 파일 시스템 단위에서 MFT Entry 할당 정보와 Zone Identifier 정보를 Internet이라고 저장하고, 물리 메모리 영역에 사용자 방문 URL 정보가 존재한다.