ie-cookies
Internet Explorer의 WebCacheV01.dat ESE(Extensible Storage Engine) 데이터베이스 파일을 파싱하여 쿠키 이력을 조회합니다. Cookies 컨테이너에 저장된 쿠키 레코드에서 사용자 이름, URL, 접근 시각 등을 추출합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
zippath=STRWebCacheV01.dat파일이 포함된 ZIP 파일의 경로. ZIP 파일 내부의 ESE 데이터베이스 파일을 직접 조회할 때 사용합니다.zipcharset=STR- ZIP 파일 엔트리의 문자 집합 (기본값:
utf-8)
대상
FILE_PATH- 조회할 Internet Explorer
WebCacheV01.dat파일의 경로. 와일드카드(*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
_time | 날짜 | 마지막 접근 시각 |
container_id | 64비트 정수 | 컨테이너 식별자 |
entry_id | 64비트 정수 | 엔트리 식별자 |
cache_id | 64비트 정수 | 캐시 식별자 |
type | 문자열 | 레코드 유형 |
visit_count | 64비트 정수 | 접근 횟수 |
user | 문자열 | 쿠키 소유 사용자 이름 |
url | 문자열 | 쿠키 대상 URL |
file_path | 문자열 | 쿠키 파일의 로컬 경로 |
file_name | 문자열 | 쿠키 파일 이름 |
file_size | 64비트 정수 | 쿠키 파일 크기 (바이트) |
file_ext | 문자열 | 쿠키 파일 확장자 |
redirect_url | 문자열 | 리다이렉트 URL |
sync_time | 날짜 | 동기화 시각 |
creation_time | 날짜 | 생성 시각 |
expiry_time | 날짜 | 만료 시각 |
modified_time | 날짜 | 수정 시각 |
post_check_time | 날짜 | 사후 검사 시각 |
request_headers | 바이너리 | HTTP 요청 헤더 |
response_headers | 바이너리 | HTTP 응답 헤더 |
group | 문자열 | 그룹 |
extra_data | 바이너리 | 추가 데이터 |
url_hash | 64비트 정수 | URL 해시 값 |
secure_dir | 64비트 정수 | 보안 디렉터리 식별자 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot load ESE database: PATH | ESE 데이터베이스 파일을 읽을 수 없는 경우 | 쿼리 실행을 중단함 |
설명
ie-cookies 명령어는 Internet Explorer가 쿠키 정보를 저장하는 WebCacheV01.dat ESE 데이터베이스 파일을 파싱합니다. 먼저 Containers 테이블에서 Cookies 유형의 컨테이너를 식별한 후, 해당 컨테이너의 레코드를 조회합니다.
원본 URL 필드에서 사용자 이름과 실제 URL을 분리합니다. URL 형식이 쿠키이름:사용자이름@호스트 패턴인 경우 @ 기호 앞의 문자열을 user 필드에, @ 기호 뒤의 문자열을 url 필드에 할당합니다. @ 기호가 없는 경우 user 필드에 null을 할당합니다.
날짜 필드는 Windows FILETIME 형식(1601년 1월 1일 기준 100나노초 단위)을 UNIX 타임스탬프로 변환하여 할당합니다. FILETIME 값이 0인 경우 해당 날짜 필드를 할당하지 않습니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
IE 쿠키 이력 조회
ie-cookies /opt/logpresso/evidence/WebCacheV01.dat지정한 경로의
WebCacheV01.dat파일에서 모든 쿠키 이력을 조회합니다. -
특정 사용자의 쿠키 이력 필터링
ie-cookies /opt/logpresso/evidence/WebCacheV01.dat | search isnotnull(user)사용자 이름이 식별된 쿠키 이력만 필터링합니다.
-
ZIP 파일 내부의 WebCacheV01.dat 파일 조회
ie-cookies zippath=/opt/logpresso/evidence/browser.zip WebCacheV01.datZIP 파일 내부의
WebCacheV01.dat파일에서 쿠키 이력을 조회합니다.
호환성
ie-cookies 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.