안녕하세요. 도깬리 포렌식스 입니다.
오늘은 XWF로 생성 가능한 다양한 이미지에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
스켈레톤 이미지(Skeleton Image) 생성
XWF 특유의 기능입니다.
NTFS의 Sparse file 기술을 활용한 것입니다.
분석자가 이미지 파일에 포함하기 원하는 정확한 비트의 데이터(즉, 섹터)를 이용하여 이미지를 만드는 방식입니다.
파일시스템에 대한 기본정보(파일, 디렉터리 이름의 스냅샷, 레지스트리 하이브)만 가져오고,실제 파일과 디렉터리의 내용은 가져 오지 않습니다.
즉, 조사 현장에서 DRM 해제 등 데이터에 대한 후속처리 작업이 필요한 경우, Skeleton 이미지를 만들어 예비적 획득을 하고, 후속처리된 데이터는 추후 임의제출하도록 유도할 수 있습니다.
Skeleton Image (SI) 생성 절차
[File] --> [Create SI] --> 파일이름, 보관경로 지정 --> 옵션 선택
[Create log file] 옵션
체크하면, 주로그, 보조로그 모두 생성합니다.
반만 체크하면, 주로그만 생성합니다.
체크 안하면, 로그를 생성하지 않습니다.
[Tool] --> [Open Disk] --> SI 만들 장치 선택 --> 미리보기하여 선별합니다.
[Case Data] --> [File] --> [Create New Case] --> 미리보기 중인 탭에서 오른쪽 클릭 --> [Add to active case] --> 추가된 Case Data에서 오른쪽 클릭 --> [Explore recursively]
[File] --> [State/이미지명.dd] --> [close] --> [Create Disk Image (이미지명.dd)]
[Case Data] --> [File] --> [Add Image]
클린즈드 이미지 (Cleansed Image) 생성
특정 데이터나 부분을 이미지에서 제외시키고 나머지 데이터만으로 이미지를 생성합니다.
E-Discovery 에서 사생활 또는 사건과 관련 없는 데이터는 제외시켜야 할 때가 있는데, 이러한 경우 Cleansed Image가 하나의 대안이 될 수 있습니다.
즉, 사건과 관련없는 특정 데이터를 제외한 나머지 모두 이미징해야 할 때 유용합니다.
이미지를 만들 때 사건과 관련 없는 데이터는 단순히 ‘숨김’으로 바꾸기만 하면 됩니다.
‘숨김’ 처리된 파일 또는 디렉터리의 해당 섹터는 ‘0’ 또는 ‘임의의 값’으로 채워지게 됩니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : X-ways Forensics Practitioner Guide
'XWF' 카테고리의 다른 글
| [XWF] RAID 시스템 이미징 하는 방법 (0) | 2022.11.16 |
|---|---|
| [XWF] CD/DVD 이미지, 메모리 이미지, 논리 이미지 (0) | 2022.11.14 |
| [XWF] 라이브 포렌식(Live Forensics)과 리버스 이미징(Reverse Imaging) (0) | 2022.11.09 |
| [XWF] 증거 이미지 생성과 추가 (0) | 2022.11.07 |
| [XWF] 케이스 생성하기와 옵션 설정 (0) | 2022.11.04 |