[XWF] 툴바, 탭 컨트롤, Directory Browser 옵션/필터 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 디렉토리 브라우저의 컬럼 옵션(Column Options)과 필터 옵션(Filter Options)에 대해 알아 보겠습니다. 모두 화이팅 하세요.

 

Directory Browser Column 옵션과 필터 옵션

 

 

 

[Name] 필터

와일드 카드나 문자열의 일부분을 사용할 수 있습니다.

입력하는 항목을 제외시키려면 앞에 콜론(:)을 입력합니다.

 

[Description] 컬럼

정상파일, 삭제파일 등을 표시합니다.

 

[Ext.] 컬럼

파일의 확장자를 표시합니다.

 

[Type] 필터

파일 시그너처 기반 선별을 가능하게 합니다.

파일의 확장자를 직접 선택하는 방법으로 파일을 종류별로 선별할 수 있습니다.

 

[Type Status] 필터

확장자 변조 여부 등 파일의 상태 기반 선별을 가능하게 합니다.

글자 색깔은 파일의 종류를 검사했는지 여부를 의미합니다.

- 검은색 : 검증

- 파란색 : 일치하지 않음

- 기타 : 회색

특정 파일 확장자에 낮은 값의 등급을 주고, 다른 파일에 더 높은 등급을 주어 불필요한 많은 파일을 제거할 수 있습니다.

 

[Type Descr] 컬럼

확장자에 대한 설명을 표시합니다.

 

[Category] 필터

파일 시그너처 기반 선별을 가능하게 합니다.

바로가기 메뉴가 나와 Directory Browser에 보여주는 파일 목록을 대상으로 각 파일의 종류별로 분류하고, ( )안에 일치하는 파일의 개수를 보여줍니다.

 

[Evidence Object] 컬럼

증거이미지 파일의 이름을 표시합니다.

 

[Path] 필터

경로 이름 기반 선별을 가능하게 합니다.

문자열 일부만 일치하여도 동작할 수 있습니다.

 

[Parent Name] 필터

부모개체 이름 기반 선별을 가능하게 합니다.

 

[Child Objects] 필터

자식개체 이름 기반 선별을 가능하게 합니다.

자식개체의 이름을 콤마(,)로 분리하여 표시합니다.

 

[Size] 필터

파일 크기 기반 선별을 가능하게 합니다.

 

[Created, Modified, Record changed, Accessed, Deleted, Contents Created] 필터

 

[Record changed] 필터

NTFS에서 파일의 레코드의 수정된 일시를 의미합니다.

리눅스의 경우에는 ‘아이노드’를 표시합니다.

 

[Deleted] 필터

삭제된 일시를 의미합니다.

 

[Contents Created] 필터

특정 파일의 메타데이터에서 가져온 날짜와 시간을 의미합니다.

파일의 헤더에서 가져온 시간정보로써, 파일시스템 수준의 날짜와 시간정보보다 더 오래 유지되며, 변조하기 어렵습니다.

보강증거로 활용 가능합니다.

 

[Attr.] 필터

파일 속성 기반 선별을 가능하게 합니다.

암호화 여부, VSC에서 발견된 것인지 여부, ADS가 있는지 여부 등을 표시합니다.

정렬을 하게 되면, 중요한 속성 순으로 정렬됩니다. (알파벳순이 아님)

 

[1st sector] 필터

첫 번째 섹터 위치 기반 선별을 가능하게 합니다.

 

[ID] 필터

파일시스템이나 XWF가 지정한 ID기반 선별을 가능하게 핳ㅂ니다.

이 값은 중복될 수 있습니다.

 

[Int. ID] 필터

XWF가 볼륨 스냅샷에 있는 각 개체마다 생성한 고유의 값을 기반으로 선별을 할 수 있게 합니다.

이 값은 중복되지 않습니다.

마지막 RVS 과정을 통해 복원한 파일의 숫자만 표시합니다.

Int. ID가 높으면 높을수록 더 최근에 볼륨 스냅샷에 추가된 것으로 볼 수 있습니다.

 

[Int. parent] 컬럼

부모 개체의 Int. ID 값이 표시합니다.

 

[Unique ID] 필터

Unique ID 기반 선별을 가능하게 합니다.

 

[Owner] 필터

개체의 소유주(사용자 계정명), SID 기반 선별을 가능하게 합니다.

 

[Author] 컬럼

문서의 작성자를 표시합니다.

 

[Sender] 필터

메일의 송신자 기반 선별을 가능하게 합니다.

 

[Recipients] 필터

메일의 수신자 기반 선별을 가능하게 합니다.

 

[Link Count] 컬럼

파일 또는 폴더에 있는 하드링크의 수를 표시합니다.

 

[File Count] 컬럼

파일 또는 폴더에 있는 자식개체의 수를 표시합니다.

 

[Term Count] 컬럼

개체에 히트된 키워드 검색단어의 개수를 표시합니다.

 

[Search terms] 필터

개체에 히트된 모든 검색단어를 보여 줍니다.

 

[Page count] 컬럼

문서의 페이지 수를 표시합니다.

 

[Pixels] 필터

사진/그림의 픽셀 크기를 표시합니다.

 

[SC%] 필터

사진/그림의 살색(Skin color) 비율을 표시합니다.

%가 높을수록 해당 그래픽의 살색 비율이 높아집니다.

아동포르노 사건에 유용한 필터입니다.

흑백 사진, 그림 파일 찾을 때 유용합니다.

 

[Hash] 필터

해시값 기반 선별을 가능하게 합니다.

해시값으로 몇 개의 파일을 검색할 때 주로 사용합니다.

단 하나의 해시값만 필터링 할 경우 유용합니다.

해시값이 여러개 일 경우에는, 해시 데이터베이스를 만들어 사용하는 것이 합리적입니다.

 

[Hash set] 필터

해시셋명(해시데이터베이스명) 기반 선별을 가능하게 합니다.

 

[Hash category] 필터

해시셋의 지정항목값 기반 선별을 가능하게 합니다.

- irrelevant

- unknown

- notable

 

[Report table] 필터

사용자 생성 보고서 테이블 기반 선별을 가능하게 합니다.

사용자가 직접 검토 해야 한다고 생각되는 파일을 쉽게 볼 수 있습니다.

 

[Comment] 필터

사용자 생성 주석 기반 선별을 가능하게 합니다.

최대 2개의 검색어를 사용 가능합니다.

 

[Metadata] 필터

RVS 처리후 생성된 내부정보 기반 선별을 가능하게 합니다.

- EXIF 정보

- 워드문서 작성자 등

최대 2개의 검색어를 사용 가능합니다.

 

 

필터 불러오기, 저장 및 적용

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide