안녕하세요. 도깬리 포렌식스 입니다.
오늘은 XWF로 RAID 시스템을 조사하는 방법과 F-Response를 이용한 이미지 제작법에 대해 알아보겠습니다.
RAID 시스템 이미징하기
RAID를 구성하는 각각의 드라이브에 대한 이미지가 있거나, 실제 물리적 RAID 드라이브가 있을 경우, RAID 배열을 재구성할 수 있습니다.
XWF는 RAID 0, 5, 6을 지원합니다.
RAID 배열 재구성을 위해서는 컨트롤러 제조사, 스트라이프 크기, 패리티 정보 등 관련 정보를 알고 있어야 합니다.
RAID의 경우 RAID를 구성하는 하드드라이브 각각을 따로따로 이미지를 만드는 것 보다는 논리적 배열 자체의 이미지를 만드는 것이 효율적입니다.
즉, 라이브 환경에서 이미지를 만들거나, F-Response를 활용하여 이미지를 만드는 것이 가장 바람직합니다.
RAID 0의 경우 배열 재구성 순서
각각의 하드드라이브에 대한 이미지를 임의의 케이스에 add 합니다.
[Specialist] --> [Interpret Image File As Disk]
XWF에서는 이미지 파일을 Add한 후, 일단 ‘미리보기’를 하여 획득여부를 판단을 한 다음, Case를 만들어도 됩니다.
이때 ‘미리보기’를 하기 위해서는 이미지 파일에 대한 파일시스템 해석 작업이 필요합니다.
[Specialist] --> [Reconstruct RAID System]
RAID 5의 경우에는 세그먼트 3개중 1개가 없더라도 RAID 재구성에는 문제가 없습니다.
이유는 패리티가 RAID 5의 각 세그먼트에 분산되어 있으므로 하나가 없어도 작동에는 문제가 없기 때문입니다.
3개 중에 2개의 세그먼트만 있다면, 2개 중 어느 하나를 두 번 추가하고, 두 번 선택된 이미지 중 하나에 Missing을 선택하면 됩니다.
F-Response로 이미징하기
네트워크로 연결된 거의 모든 물리적 드라이브를 읽기전용으로 접근할 수 있습니다.
윈도우 시스템의 RAM에 대한 접근도 가능합니다.
밴더 중립적인 프로그램이기 때문에, 분석도구가 대상 하드드라이브를 읽을 수만 있다면, F-Response와의 연동은 문제 없습니다.
즉, F-Response로 작업을 하면, 모든 물리적 드라이브, 논리적 파티션, 메모리 등에 대한 접근이 가능하고, 이메일, RAID, 클라우드 저장공간 등을 마치 로컬 컴퓨터처럼 접근할 수 있습니다.
F-Response TACTICAL edition
포렌식 전문가용 버전입니다.
2개의 USB 드라이브로 구성됩니다.
- 분석 대상 컴퓨터에 연결합니다.
- 분석관의 컴퓨터에 연결합니다.
분석관의 컴퓨터에 연결후 프로그램 실행 --> 분석 대상 컴퓨터에 연결후 프로그램 실행
F-Response를 통해 획득한 기기는 제조사와 컴퓨터 이름 앞에 ‘FRES’라고 표시됩니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : X-ways Forensics Practitioner's Guide
'XWF' 카테고리의 다른 글
| [XWF] 툴바, 탭 컨트롤, Directory Browser 옵션/필터 (1) (0) | 2022.11.22 |
|---|---|
| [XWF] Case Data Directory 트리의 옵션들 (0) | 2022.11.19 |
| [XWF] CD/DVD 이미지, 메모리 이미지, 논리 이미지 (0) | 2022.11.14 |
| [XWF] 스켈레톤 이미지(Skeleton Image)와 클린즈드 이미지(Cleansed Image) (0) | 2022.11.11 |
| [XWF] 라이브 포렌식(Live Forensics)과 리버스 이미징(Reverse Imaging) (0) | 2022.11.09 |