ie-downloads
Internet Explorer의 WebCacheV01.dat ESE(Extensible Storage Engine) 데이터베이스 파일을 파싱하여 파일 다운로드 이력을 조회합니다. iedownload 컨테이너에 저장된 다운로드 레코드에서 다운로드 URL, 파일 경로 등을 추출합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
zippath=STRWebCacheV01.dat파일이 포함된 ZIP 파일의 경로. ZIP 파일 내부의 ESE 데이터베이스 파일을 직접 조회할 때 사용합니다.zipcharset=STR- ZIP 파일 엔트리의 문자 집합 (기본값:
utf-8)
대상
FILE_PATH- 조회할 Internet Explorer
WebCacheV01.dat파일의 경로. 와일드카드(*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
_time | 날짜 | 마지막 접근 시각 |
container_id | 64비트 정수 | 컨테이너 식별자 |
entry_id | 64비트 정수 | 엔트리 식별자 |
cache_id | 64비트 정수 | 캐시 식별자 |
type | 문자열 | 레코드 유형 |
visit_count | 64비트 정수 | 접근 횟수 |
url | 문자열 | 다운로드 URL |
file_path | 문자열 | 다운로드된 파일의 로컬 경로 |
file_name | 문자열 | 다운로드 파일 이름 |
file_size | 64비트 정수 | 다운로드 파일 크기 (바이트) |
file_ext | 문자열 | 다운로드 파일 확장자 |
redirect_url | 문자열 | 리다이렉트 URL |
sync_time | 날짜 | 동기화 시각 |
creation_time | 날짜 | 생성 시각 |
expiry_time | 날짜 | 만료 시각 |
modified_time | 날짜 | 수정 시각 |
post_check_time | 날짜 | 사후 검사 시각 |
response_headers | 바이너리 | HTTP 응답 헤더 |
group | 문자열 | 그룹 |
extra_data | 바이너리 | 추가 데이터 |
url_hash | 64비트 정수 | URL 해시 값 |
secure_dir | 64비트 정수 | 보안 디렉터리 식별자 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot load ESE database: PATH | ESE 데이터베이스 파일을 읽을 수 없는 경우 | 쿼리 실행을 중단함 |
설명
ie-downloads 명령어는 Internet Explorer가 다운로드 이력을 저장하는 WebCacheV01.dat ESE 데이터베이스 파일을 파싱합니다. 먼저 Containers 테이블에서 iedownload 유형의 컨테이너를 식별한 후, 해당 컨테이너의 레코드를 조회합니다.
응답 헤더(response_headers) 바이너리 데이터에서 다운로드 URL과 파일 경로를 추출합니다. 바이너리 데이터의 NULL 종료 문자열 영역을 UTF-16LE로 디코딩하여 마지막 줄에서 file_path 필드를, 마지막에서 두 번째 줄에서 url 필드를 할당합니다. 이 값은 기본 ESE 레코드의 URL 필드를 대체합니다.
날짜 필드는 Windows FILETIME 형식(1601년 1월 1일 기준 100나노초 단위)을 UNIX 타임스탬프로 변환하여 할당합니다. FILETIME 값이 0인 경우 해당 날짜 필드를 할당하지 않습니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
IE 다운로드 이력 조회
ie-downloads /opt/logpresso/evidence/WebCacheV01.dat지정한 경로의
WebCacheV01.dat파일에서 모든 다운로드 이력을 조회합니다. -
다운로드 파일 경로가 존재하는 이력만 필터링
ie-downloads /opt/logpresso/evidence/WebCacheV01.dat | search isnotnull(file_path)다운로드 파일 경로가 식별된 이력만 필터링합니다.
-
ZIP 파일 내부의 WebCacheV01.dat 파일 조회
ie-downloads zippath=/opt/logpresso/evidence/browser.zip WebCacheV01.datZIP 파일 내부의
WebCacheV01.dat파일에서 다운로드 이력을 조회합니다.
호환성
ie-downloads 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.