[XWF] 증거 이미지 생성과 추가

안녕하세요. 도깬리 포렌식스입니다.

오늘은 XWF에서 증거이미지를 생성하거나 추가하는 방법에 대해 알아 보겠습니다. 모두 화이팅하세요.

 

증거파일 생성 및 추가

e01 이미지

매체를 비트 수준에서 복제하는 상용 파일포맷입니다.

32K 단위로 구성된 데이터의 CRC값과, 파일 전체의 해시값이 포함합니다.

CRC값과 해시값을 비교하여 복사한 데이터가 중간에 변경되었는지, 데이터가 손상되었는지 알 수 있습니다.

- CRC 값이 다르면 --> 데이터 손상

- 해시값이 다르면 --> 데이터 변경

 

dd 이미지

CRC값과 해시값이 포함되어 있지 않습니다.

DD 이미지의 해시값은 별도 계산해야 합니다.

 

기타 지원하는 이미지 포맷

ISO CD 이미지

VMware의 VMDK 이미지

Virtual PC의 VHD 이미지

 

개별 디렉터리와 파일도 케이스에 추가할 수 있습니다.

 

리버스 이미징

리버스로(뒤에서 부터) 하드드라이브의 이미지를 생성할 수 있습니다.

하드드라이브에 손상된 부분이 있거나, 일반적인 이미지 생성 도구로 이미지를 생성할 수 없는 경우에 매우 효과적 입니다.

즉, 손상된 부분까지는 기존의 방식대로 이미지를 생성하고,  마지막 섹터부터 이미지 생성 과정을 역으로 진행함으로써 물리적으로 손상된 섹션을 제외하고 거의 모든 데이터에 대한 이미지를 생성 가능하게 하는 방식입니다.

리버스로 이미지를 저장할 때는 FAT32가 지원되지 않기 때문에 NTFS로 포맷된 파티션에 이미지를 저장해야 합니다.

 

CD ROM, 메모리(RAM)의 이미지도 생성할 수 있습니다.

 

이미징시 선택사항

원본을 대상으로 직접 분석하는 것 보다는 포렌식 이미지를 만들어 그것을 대상으로 분석하는 것이 바람직합니다.

예외적으로 원본시스템에서 직접 작업을 해야 하는 경우는 어떤 경우일까요?

- 시스템에 암호화가 적용되어 있는 경우

- 사용 중단이 불가능한 상업용 서버

- RAID가 특이하게 설정되어 있는 경우

 

XWF로 포렌식 이미지 생성하기

이미지를 생성하는 경우에는 일부러 케이스를 만들 필요는 없습니다.

[Tools] --> [Open Disk]

각각의 파티션의 이미지를 생성해야 하는 경우가 아니라면, Physical Media 섹션 아래에서 드라이브를 선택하는 것이 바람직합니다.

 

 

하드드라이브를 선택후, 파티션을 더블 클릭하면 해당 파티션이 열리고, 파티션 안의 모든 섹터가 읽혀 집니다.

이것이 바로 최초의 볼륨 스냅샷 과정입니다.

하드드라이브를 이미징할 목적일 경우, 가급적이면 각각의 파티션을 열어 보지 않는 것이 좋습니다.

[File] --> [Create Disk Image]

 

 

[Image file format] 옵션

[Evidence File Container]

e01, dd 파일이 아닌 XWF 컨테이너로 이미지를 생성하게 합니다.

 

[Path and filename] 옵션

Path는 기본 설정으로 [Options] --> [General]에서 입력한 값을 사용합니다.

filename은 기본 설정으로 XWF가 자동으로 분석대상 드라이브 모델이름으로 잡아줍니다.

이런 정보는 [Specialist] --> [Technical Details Report]에서도 확인 가능합니다.

 

[2nd copy] 옵션

체크하면, 동일한 이미지를 하다 더 생성하게 합니다.

동시에 2개를 생성하는 것이 이미지 생성후 복사하는 것보다 시간이 적게 소요될 겁니다.

2nd 이미지는 물리적으로 다른 저장 매체를 사용하여 전체적인 이미지 생성시간을 단축 시킬 수 있습니다.

 

[Internal description] 옵션

선택한 하드드라이브에 대한 자세한 정보를 기입합니다.

예) 제조업체, 모델, 시리얼넘버, 획득한 곳

위 정보는 e01 이미지의 경우 해당 이미지 파일 안에 저장되어 있습니다.

 

[Scope] 옵션

이미지를 생성하고 싶은 범위를 설정합니다.

일반적으로는 하드드라이브 전체를 대상으로 이미지를 생성합니다.

 

[Compute Hash] 옵션

최소한 SHA-1을 선택하는 것을 권장합니다.

MD5 해시 알고리즘을 사용해도 무방하나, SHA-1알고리즘이 더 안전합니다.

 

[Immediately verify image] 옵션

체크하면, 이미지에 대한 해시값을 계산하는데, 만약 2nd 이미지를 만들도록 설정이 되어 있는 상황이라면, 2nd 이미지에 대해서는 해시값을 계산하여 검증하지 않습니다. (이유는 이미징 소요 시간을 줄이기 위해서 입니다.)

XWF는 기본적으로 이미지를 4GB 단위로 생성합니다.

동일한 하드드라이브에 2nd 이미지 파일을 1차 이미지 파일과 함께 생성할 수 없습니다.

즉, 적어도 2개의 드라이브를 구비해야 함을 의미합니다.

 

[Replace evidence object with image] 옵션

[add to (active case)] 옵션으로 바뀌었습니다.

매체를 케이스에 바로 추가하여 이미징을 할 때만 사용합니다.

케이스에 노드를 추가하는 방법은 [File] --> [Add medium]

이미지 파일을 생성한 후에 물리적 드라이브를 바로 이미지 파일로 대체하여 계속 분석을 이어가게 할 수 있게 합니다.

USB 드라이브 처럼 크기가 작은 저장 매체의 경우, 곧바로 물리적 드라이브에서 생성된 이미지로 전환이 가능하기 때문에 매우 효과적 입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide