[XWF] 라이브 포렌식(Live Forensics)과 리버스 이미징(Reverse Imaging)

안녕하세요. 도깬리 포렌식스입니다.

오늘은 XWF를 이용하여 Live Imaging하는 방법과 XWF 특유의 Reverse Imaging에 대해 알아 봅시다. 모두 화이팅하세요!!

 

라이브 포렌식

컴퓨터의 전원을 끌 수 없는 상황에서 XWF를 사용하는 방법론에 관한 것 입니다.

예) 상업용 서버, RAID 상황 등

 

XWF로 라이브 포렌식 방법

XWF를 외장 하드 등에 복사한 후에 조사 대상 컴퓨터에 연결합니다.

동글을 연결합니다.

- 드라이버는 설치 불요

 

이미지를 생성하면서 동시에 분석하기

긴급 상황에서는 이미지를 만들면서 동시에 매체에 대한 분석도 해야할 겁니다.

이미지를 생성하도록 하고, XWF 인스턴스를 하나 더 열어, 새로운 케이스를 만듭니다.

같은 매체를 새로운 케이스에 추가하여 내용을 조사합니다.

케이스를 만들어 작업을 하면, 작업 결과가 모두 케이스에 저장되는 장점이 있습니다.

 

 

[Replace with new Image] 옵션

XWF 인스턴스 2개를 열어, 하나의 인스턴스로는 매체에 대한 이미징 작업을 하는 가운데, 동시에 또하나의 인스턴스를 열어 케이스를 만들고, 해당 케이스에 매체를 직접 붙여 분석작업을 할 수 있습니다.

분석작업중 이미징이 완료되면 이 옵션을 사용하여 케이스에 붙어 있는 실제의 물리적 매체를 완성된 이미지 파일로 대체시킬 수 있습니다.

이렇게 하면, 물리적 매체에 대한 분석과정에서의 작업(예: 주석, 접근한 파일에 대한 정보 등)에 대한 정보가 그대로 모두 보존되어진 채 이미지 파일로 대체 가능합니다.

즉, XWF 인스턴스 A가 드라이브에 대한 이미징을 하는 동안, 시간을 줄이기 위해 인스턴스 B를 열어 드라이브를 분석하고, 이미지 생성이 완료되면 물리적 드라이브를 이미지로 대체하여 분석을 계속 진행하는 것을 의미합니다.

 

리버스 이미지 생성

XWF에만 존재하는 기능입니다.

하드드라이브가 손상되어 기존 방법으로 이미징이 불가능할 때 유용합니다.

배드섹터가 있는 경우, 이미징 시간이 길어지긴 하지만, 이미징 자체가 불가능 한 것은 아닙니다.

그러나 심각하게 손상된 드라이브의 경우에는 이미징 자체가 불가능할 수 있습니다.

이러한 경우, 리버스 이미징 기능을 활용할 수 있습니다.

 

디스크 복제 (Disk cloning)

[Tools] --> [Disk Tools] --> [Clone Disk]

 

 

[Avoid damaged areas. Skip range] 옵션

하드드라이브의 경우, 물리적이든 논리적이든 손상을 입은 경우, 인접해 있는 섹터들도 손상을 입게 마련입니다.

체크하면, 배드섹터(Bad Sector)가 있을 경우, Skip range 에서 설정한 만큼의 섹터를 건너뛰게 합니다.

- 숫자가 클수록 복제의 속도를 증가시킵니다.

 

[Copy sectors in reverse order (backwards)] 옵션

‘리버스 이미징’으로 칭합니다.

 

 

리버스 이미징 기술을 적용하기 이전에는 손상된 부분이 어디에서 끝나는 지 찾아야 했고, 손상된 섹터가 끝나는 부분부터 다시 이미지를 생성해서 두 개의 이미지를 합치는 방법을 활용했습니다.

XWF의 리버스 이미징은 분석자가 수작업으로 배드섹터를 찾을 필요 없이 자동으로 일부 생성된 이미지를 버리지 않고, 이미지 생성 과정을 계속 진행할 수 있게 도와 줍니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide