[XWF] 디렉토리 브라우저 컨텍스트 메뉴 (4)

안녕하세요. 도깬리 포렌식스 입니다.

대한민국 월드컵 축구 대표팀 ! 투혼에 감사드립니다. 오늘은 디렉토리 브라우저 컨텍스트 메뉴 마지막 시간 입니다. 모두 화이팅 하세요!!!

 

[Refine Volume Snapshot] 옵션

선택된 파일에 한하여 RVS 작업을 수행합니다.

 

 

[Simultaneous search] 옵션

선택된 개체의 내용에 대한 키워드 검색을 수행합니다.

 

 

[Run X-Tensions] 옵션

선택한 개체에 X-Tension API를 사용하는 프로그램을 하나 이상 실행할 수 있게 해줍니다.

 

[Create Hash Set] 옵션

선택한 개체를 기반으로 하여, 새로운 해시셋을 만들 수 있도록 합니다.

이렇게 해시셋이 만들어 지면, 기존의 해시셋과 통합할 수도 있습니다.

[Tools] --> [Hash Database] --> [Manage]

 

 

[Attach external file], [Attach external dir] 옵션

Directory Browser에 있는 개체에 파일이나 디렉터리를 첨부할 수 있습니다.

이렇게 첨부된 파일이나 디렉터리는 Directory Browser에서 일명 ‘가상파일(EnCase에서는 Single file)’이 됩니다.

즉, ‘가상파일’은 원래의 포렌식 이미지에는 존재하지 않았던 파일로, XWF에 분석을 위하여 첨부된 파일입니다.

예를 들어, system 레지스트리를 내보내기 하여 FTK의 Registry Viewer를 사용하여 분석한 후 그 결과 화면을 다시 ‘가상파일’로 system 레지스트리의 자식 개체로 첨부해 두면, 추후 분석보고서 작성때 외부 도구에 의한 분석결과 화면을 자동으로 포함시킬 수 있게 됩니다.

가상으로 첨부된 모든 파일과 디렉터리의 Attr. 컬럼에는 virtual attached 라고 표시가 되어 자동으로 식별 가능합니다.

 

[Filter by (hash value)], [Filter for duplicates] 옵션

해시값이 먼저 계산되어 있어야 합니다.

해시값으로 중복된 파일이 있는지 즉시 검색 가능합니다.

1개의 해시값으로 중복된 파일이 있는지 여부를 즉시 알 수 있게 합니다.

 

 

여러 개의 해시값으로 중복 파일을 검색하고자 하는 경우에는

어떤 파일의 해시값 컬럼에서 [Copy (hash value)] --> 두번째 파일에서는 [Filter by (hash value)] 또는 [Filter for duplicates] --> 파란색 깔대기 클릭 --> 해시 목록에 copy한 첫 번째 해시값을 붙여넣기

 

 

[Copy] 옵션

동적 메뉴로서 Directory Browser에서 오른쪽 클릭을 할 때 마우스가 위치하는 컬럼 항목에 따라 메뉴가 달라집니다.

필터에서 사용할 데이터를 복사하거나 외부 보고서 또는 프로그램에 추가할 때 유용합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide