Abstract
SWF(Shock Wave Flash) file is a format file for vector graphics produced by Adobe. It is widely used for a variety of contents such as advertising at websites, widgets, games, education, and videos and it contains various types of data such as sound sources, script, API and images. Many SWF files contain URL information on action script for communication in the network and they can be used as important research data as well as PC users' Web Browser history in terms of forensic investigation. And a decompiler for analyzing SWF files exists by which SWF files can be analysed and URL information can be verified. However, it takes a long time to verify the URL information on action scripts of multiple SWF files by the decompiler. In this paper, analysis of URL information on action scripts and extraction of URL information from multiple SWF files by designing analysis tools for URL information in SWF files is studied.
SWF는 벡터 그래픽 전용파일 포맷 파일로 각종 웹사이트 광고, 위젯, 게임, 교육, 동영상 등 다양한 콘텐츠 제작에 활용되고 있다. 현재 포렌식 조사 시 대부분이 웹 브라우저의 사용자 캐시정보를 토대로 조사하는 비중이 크다. 하지만 개인정보유출의 문제로 인해 Web Browser 자체에서 사용흔적을 삭제하거나 사용자들이 복구되지 않은 방법으로 그 흔적을 지워 행위를 추정할 수 없는 경우가 발생하고 있다. SWF파일은 PC사용자가 브라우저를 통해 웹사이트 방문 시 웹 캐시와 함께 특정경로에 저장되어 PC상에 남게 된다. 이런 SWF파일 내 데이터 중 액션스크립트 상에서 웹서버와 통신할 수 있게 URL 정보를 포함하고 있으며 포렌식 조사 입장에서 웹 브라우저의 History 정보 이외에 중요한 조사정보로 활용할 수 있다. 허나 포렌식 도구에서 SWF파일 내 정보를 체계적으로 분류해주는 경우는 없다. SWF파일 내 URL 정보 분석 도구를 통해 확인할 수 없었던 사용자의 웹 행위 정보를 조사할 수 있으며 신뢰할 수 있는 증거를 수집할 수 있다.