구글 Chrome 브라우저

Chrome 로그 파일들은 밑에 경로에 저장되어 있다.

내용	저장 위치
History download	C:\Users\[user]\AppData\Local\Google\Chrome\User Data\Default\History 파일
Cookie	C:\Users\[user]\Appdata\Local\Google\Chrome\User Data\Default\Cookies 파일
Cache	C:\Users\[user]\Appdata\Local\Google\Chrome\User Data\Default\Cache\

 

History, Cookie, Download List 정보는 SQLite Database 파일 형태로 저장되어 있으며 Download List 정보는 History 파일 안에 함께 저장되어 있다. 

 

1. Chrome Cache

Cache 폴더를 살펴보면 여러 파일이 존재한다.

• data_0 파일에는 인덱스 정보가 저장되어 있다.
• 캐시 데이터 용량이 적은 경우 data_1, data_2, data_3에 저장된다.
• 캐시 데이터가 큰 경우 f_0001부터 연속된 파일에 캐시 데이터가 저장되어 있다.

data_0 파일 구조

• 인덱스 레코드가 저장됨(URL 레코드의 위치 정보 저장)
• 오프셋 0x2000부터 0x24 바이트 단위로 저장

 

2. History

SQLite 데이터베이스 형식으로 History라는 파일 이름에 정보가 저장되어 있다. 중요한 테이블에는 urls 테이블, visits 테이블, downloads 테이블이 있다.

 

- urls 테이블

구조를 살펴보면 id, url, title, visit_count, last_visit_time 등의 필드가 존재하며 같은 url이 중복 저장되지 않고 id로 구분된다. 중복 방문 시 마지막 접속 시간을 저장한다.

 

- visit 테이블

방문한 url ID, 방문 시간, 방문 기간 등 실제 방문 시의 정보를 가지고 있으며 url 정보는 urls 테이블에서 ID로 알아낼 수 있다.

 

- downloads 테이블

소스 URL, 다운로드한 경로, 다운로드 시간, 다운로드 파일 크기, 다운로드 상태(성공: 1, 실패: 0)를 알 수 있다.

 

3. Cookie

SQLite 데이터베이스 형식으로 Cookies라는 파일 이름에 정보가 저장되어 있다. 중요한 테이블로는 Cookies 테이블이 있다.

 

저장된 정보는 호스트, 경로, 방문 횟수, 마지막 접근 시간, 쿠키 만료 시간 등이 있다. 시간 기준은 1601년 1월 1일 00:00:00 기준 경과된 마이크로초이다.

 

4. Edge 로그 경로

Edge 브라우저는 "WebCacheV01.dat" 파일을 통하여 모든 History, Cache, Cookie 등 로그를 관리한다.

• %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

정보	경로	분석 도구
Cache	%UserProfile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat	esentutl ESEDatabaseView IE10Analyzer
History
Cookie
Download

 

WebCacheV01.dat: ESE(Extensible Storage Engine) Database Format의 파일이다. 헤더와 페이지로 이루어져 있으며, B+ 트리구조로 이루어져 있다.

범위(Hex)	크기(Byte)	이름	설명
0x00 - 0x03	4	Checksum
0x04 - 0x07	4	File Signature
0x08 - 0x0B	4	File format version
0x10 - 0x17	8	Database time
0x18 - 0x33	28	Database Signature
0x34 - 0x37	4	Database state
0xE8 - 0xEB	4	File format revision
0xEC - 0xEF	4	Page size
0x154 - 0x15B	8