안녕하세요. 도깬리 포렌식스입니다.
오늘도 XWF로 생성하는 이미지에 대해 알아보겠습니다. 모두 화이팅하세요.
CD/DVD
[Raw CD access] 옵션
체크하면, 헥사값 형태로 보여줍니다.
체크 안하면, 파일시스템을 해석하여 보여줍니다.
메모리 이미지 생성
XWF 만으로는 메모리 전체에 대한 덤프는 불가능합니다.
단, 윈도우 XP의 경우에는 가능하였습니다.
프로세스 단위로 메모리에 대한 검사는 가능합니다.
[Tools] --> [Open RAM]
F-Response와 함께 사용하게 되면 원격에 있는 시스템의 메모리에 접근하여 이미징도 가능합니다.
메모리 덤프가 이미 있는 경우에는 [Case Data] --> [File] --> [Add Memory Dump]
컨테이너 파일
XWF에서의 ‘논리이미지’ 입니다.
XWF에서는 X-ways file system version 2 (XWFS2) 라는 전용 파일시스템을 사용합니다.
논리이미지를 만드는 순서
(1) 컨테이너 만들기
[Specialist] --> [Evidence File Container] --> [New]
[File indirectly] 옵션
체크하면, 선별한 파일을 컨테이너에 담기 전에 임시 디렉토리에 저장합니다.
백신 같은 보안프로그램으로 파일을 먼저 확인하도록 조치합니다.
즉, 컨테이너 파일에 악성코드가 섞이는 것을 방지할 수 있습니다.
[Include directory data] 옵션
체크하면, 선별한 파일에 대한 추가적인 메타데이터를 컨테이너에 추가할 수 있습니다.
[Export report table associations] 옵션
체크하면, 컨테이너 파일을 다른 사용자에게 전달하거나, 다른 툴에서 사용가능 하도록 합니다.
[Pass on comments about files with the container] 옵션
체크하면, 보고서 관련 내용이나 주석 같은 데이터가 그대로 유지됩니다.
(2) 파일 추가
논리이미지에 넣을 파일을 선택 --> 오른쪽 클릭 --> [Add to ‘논리이미지 파일명.ctr’] 선택
(3) 컨테이터 닫기
[Specialist] --> [Evidence File Container] --> [close]
(4) 이미징
자동으로 논리이미징으로 이어집니다.
[Freeze target container file system] 옵션
체크하면, 컨테이너 파일에 더 이상 파일을 추가하지 않습니다.
즉, 해당 컨테이너는 읽기전용으로 됩니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : X-ways Forensics Practitioner's Guide
'XWF' 카테고리의 다른 글
[XWF] Case Data Directory 트리의 옵션들 (0) | 2022.11.19 |
---|---|
[XWF] RAID 시스템 이미징 하는 방법 (0) | 2022.11.16 |
[XWF] 스켈레톤 이미지(Skeleton Image)와 클린즈드 이미지(Cleansed Image) (0) | 2022.11.11 |
[XWF] 라이브 포렌식(Live Forensics)과 리버스 이미징(Reverse Imaging) (0) | 2022.11.09 |
[XWF] 증거 이미지 생성과 추가 (0) | 2022.11.07 |