XWF

[XWF] CD/DVD 이미지, 메모리 이미지, 논리 이미지

도깬리 2022. 11. 14. 06:43

안녕하세요. 도깬리 포렌식스입니다.

오늘도 XWF로 생성하는 이미지에 대해 알아보겠습니다. 모두 화이팅하세요.

 

CD/DVD

[Raw CD access] 옵션

체크하면, 헥사값 형태로 보여줍니다.

체크 안하면, 파일시스템을 해석하여 보여줍니다.

 

 

메모리 이미지 생성

XWF 만으로는 메모리 전체에 대한 덤프는 불가능합니다.

, 윈도우 XP의 경우에는 가능하였습니다.

프로세스 단위로 메모리에 대한 검사는 가능합니다.

[Tools] --> [Open RAM]

 

 

F-Response와 함께 사용하게 되면 원격에 있는 시스템의 메모리에 접근하여 이미징도 가능합니다.

메모리 덤프가 이미 있는 경우에는 [Case Data] --> [File] --> [Add Memory Dump]

 

컨테이너 파일

XWF에서의 논리이미지’ 입니다.

XWF에서는 X-ways file system version 2 (XWFS2) 라는 전용 파일시스템을 사용합니다.

 

논리이미지를 만드는 순서

(1) 컨테이너 만들기

[Specialist] --> [Evidence File Container] --> [New]

 

 

[File indirectly] 옵션

체크하면, 선별한 파일을 컨테이너에 담기 전에 임시 디렉토리에 저장합니다.

백신 같은 보안프로그램으로 파일을 먼저 확인하도록 조치합니다.

, 컨테이너 파일에 악성코드가 섞이는 것을 방지할 수 있습니다.

 

[Include directory data] 옵션

체크하면, 선별한 파일에 대한 추가적인 메타데이터를 컨테이너에 추가할 수 있습니다.

 

[Export report table associations] 옵션

체크하면, 컨테이너 파일을 다른 사용자에게 전달하거나, 다른 툴에서 사용가능 하도록 합니다.

 

[Pass on comments about files with the container] 옵션

체크하면, 보고서 관련 내용이나 주석 같은 데이터가 그대로 유지됩니다.

 

(2) 파일 추가

논리이미지에 넣을 파일을 선택 --> 오른쪽 클릭 --> [Add to 논리이미지 파일명.ctr] 선택

 

 

(3) 컨테이터 닫기

[Specialist] --> [Evidence File Container] --> [close]

 

 

(4) 이미징

자동으로 논리이미징으로 이어집니다.

 

[Freeze target container file system] 옵션

체크하면, 컨테이너 파일에 더 이상 파일을 추가하지 않습니다.

, 해당 컨테이너는 읽기전용으로 됩니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide