[XWF] 케이스 생성하기와 옵션 설정

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 XWF에서 새로운 케이스를 생성할 때 고려해야 하는 옵션을 살펴 보겠습니다. 모두 화이팅하세요!

 

소개

XWF는 이미지를 만들 때, 데이터의 압축 여부를 확인하여, 이미 압축되어 있다면 데이터를 굳이 한번 더 압축하지 아니하므로 이미지 생성 속도가 다른 도구에 비하여 빠른 편입니다.

매체에서 데이터의 일부만 가져와서 컨테이너 파일을 만들어 획득하는 것도 가능합니다.

 

케이스 파일 생성하기

새로운 케이스 생성하기

 

 

[Description] 옵션

일반적인 케이스 정보를 기록합니다.

 

[Examiner] 옵션

 

로그기록 섹션

XWF가 자동으로 로그를 남길지 말지를 결정하는 섹션입니다.

 

[Log Recover/Copy command] 옵션

체크하면 증거 객체에서 데이터를 복사하거나 복원할 때 어떤 것을 로그에 남길지 선택 가능합니다.

 

[In case log subdir] 옵션

체크하면, XWF는 케이스 디렉터리 밑에 _log 라는 서브 디렉터리에 로그를 저장하게 합니다.

체크 안하면, 로그는 데이터가 복원되는 곳과 동일한 디렉터리에 저장됩니다.

 

[Default to evidence object folders for output] 옵션

체크하면, XWF가 Recover/Copy 대화창에 있는 증거 객체의 폴더를 기본 설정으로 선택할 것입니다.

체크 안하면, XWF는 마지막으로 파일을 복원하는데 사용하였던 폴더를 선택할 것입니다.

 

코드페이지 섹션

대부분의 경우 기본 설정으로 해도 무방합니다.

리눅스를 대상으로 분석할 경우, ANSI 코드와 UTF-8 코드페이지로 설정하는 것이 좋습니다.

아카이브에서 파일 이름을 변경하거나, 이메일 내용을 볼 때 도움이 됩니다.

 

기타 옵션 섹션

[Report (Option)] 옵션

XWF가 생성하는 보고서의 설정을 변경할 수 있게 합니다.

 

 

[Display time zone] 옵션

표준시간대를 설정합니다.

 

[Individual time zones per evidence object] 옵션

체크하면, 증거마다 서로 다른 표준 시간대를 적용하게 됩니다.

 

 

[Auto save interval in min] 옵션

케이스 파일이 수정되고, 몇 분 후에 수정된 내용을 자동으로 저장할지 말지 설정합니다.

XWF는 N분마다 파일을 수정하는 것이 아니라, 수정사항이 발생한 시간부터 N분 후에 파일을 저장하게 합니다.

케이스를 닫거나 프로그램을 종료할 때에도 자동으로 저장하게 합니다.

 

[No. of case file backups] 옵션

백업 버전 몇 개를 삭제하지 않고 유지할 것인지 결정하게 합니다.

.xfc 파일에 문제가 생길 것을 대비하여 회사의 백업 정책에 맞게 조절하면 됩니다.

.xfc 파일들만 자동으로 백업되고, 하위 디렉터리에 있는 파일은 자동으로 백업되지 않는 것에 주의해야 합니다.

 

[Add disk partitions to the case automatically as well] 옵션

체크하면, 포렌식 이미지에 있는 파티션이 케이스에 자동으로 추가되도록 합니다.

 

[Protect case file against opening] 옵션

체크하면, 케이스 파일을 패스워드로 보호할 수 있습니다.

반만 체크하면, 케이스 파일을 패스워드로 보호하지만, 패스워드가 없어도 읽기 전용으로 파일을 열 수 있게 합니다.

체크 안하면, 패스워드 없이도 케이스 파일을 열고, 수정할 수 있습니다.

 

[RVS: Protect against duplicates of crasher files] 옵션

체크하면, 문제가 있는 파일을 추적하여 작업을 할 때, 처리 또는 재처리 되지 않도록 합니다.

즉, 체크할 경우, Refine Volume Snapshot 을 할 때 해시값을 계산하게 하며, 특정 파일로 인해 XWF에 오류가 발생하게 되면, 오류가 발생하는 파일과 동일한 파일(해시값이 같은 파일)은 처리하지 않게 합니다.

이러한 파일은 로그에 기록되게 되며, Report Table에 추가 되기 때문에 나중에 직접 검토를 하면서 해당 파일을 다른 방법으로 처리해야 할지, 하지 않아도 될른지를 결정할 수 있게 합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide