보안툴 안내서 : WEFA 사용법

*WEFA는 다음 사이트에서 다운받으실 수 있습니다.

http://forensic.korea.ac.kr/tools.html

DFRC - Digital Forensic Research Center

WEFA는 고려대 DFRC에서 만든 웹 히스토리를 분석하는 툴입니다.

DFRC 사이트에서 WEFA를 아주 간단하게 다운받을 수 있습니다. 압축 형식이기에 풀어서 바로 사용하면 됩니다.

사용법

WEFA를 열면 다음과 같은 창이 뜹니다. 좌측에 폴더 아이콘을 눌러 새 케이스를 생성해줍니다.

이렇게 테스트 용이니 임의로 값을 입력하고 케이스 폴더의 경로를 지정해줍니다.

확인을 누르고 원래 있던 창에서 파일을 누르면 다음과 같이 뜹니다. 우선 로그파일을 수집하겠습니다.

수집할때에는 현재 시스템에 있는 로그를 대상으로 할 수 있고, 이외에 마운트된 디스크 볼륨들에서 로그를 수집할 수도 있습니다. 일단 현재 시스템을 선택하고 진행을 누르겠습니다.

일반수집을 선택하고 수집버튼을 눌러 계속 진행합니다. (시간이 조금 걸립니다.)

원래는 특정 파일 경로에 저장되어있는 웹 로그들을 직접 가져와 수집할 수 있지만 번거로우므로 툴 상에서 수집 기능을 통해 가져오는 것 입니다. 수집 옵션을 조정해 더 상세히 수집할 수 있지만 시간이 더 걸릴 수 있습니다.

이후 종료를 누르면 방금 지정해둔 폴더에 로그 파일들이 저장되게 됩니다. 이제 로그를 분석하는 방법을 알아봅시다. 상단 바에서 파일 버튼을 누르고 로그 정보 분석을 누릅니다. 이후 폴더 열기를 선택해 지정해둔 케이스의 폴더 경로를 선택합니다. 이후 프로그램이 알아서 파일을 파싱해줍니다.(시간대는 분석하고자 하는 로그에 맞게 설정합니다.)

파싱이 끝나면 이런 화면이 나오게 됩니다. 캐시, 히스토리, 검색 정보 등 다양한 정보가 나옵니다.

이렇게! 유용한 웹 로그들을 분석할 수 있습니다. (조금 부끄럽네요)

더 자세한 내용은 웹 관련 포렌식 문제를 풀면서(언제일지는 모르겠으나?) 다뤄보도록 하겠습니다.

 

WEFA 안내서였습니다.!