[XWF] Mode 버튼과 Details Pane

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 XWF에서의 여러가지 Mode 버튼관 Details 팬에 대하여 알아 봅시다. 모두 화이팅하세요!!!

 

Mode 버튼과 Details pane 

Legend 모드

XWF에서의 아이콘에 대한 설명을 포함합니다.

 

 

Volume/Partition 모드

Volume

파티션 이미지를 케이스에 추가하는 경우 표시됩니다.

 

Partition

하드드라이브 전체 이미지를 케이스에 추가하는 경우 표시됩니다.

 

Disk 모드

Directory Browser에 파티션, 파티션이 불가능한 공간 등이 표시됩니다.

 

File 모드

선택된 하나의 파일의 내용을 Hex 뷰에서 보여줍니다.

슬랙 공간을 초록색으로 구별하기 위해서는

[Specialist] --> [Highlight slack space] 체크

[Directory Browser Options, Filters] --> [Open and search files incl. slack] 체크

파일 끝에 NTFS나 exFAT 으로 초기화되지 않은 경우에는 해당 영역을 붉은 색으로 표시합니다.

시스템 수준의 압축을 고려하여 파일을 보여줍니다.

파일의 조각 여부와는 상관없이 연속적으로 보여줍니다.

 

 

Preview 모드

선택된 파일에 대한 내부뷰어가 있으면 내부뷰어를 사용하여 미리보기 합니다.

예) JPG 파일의 경우 [Options] --> [Viewer Programs] --> [For pictures, too]에 체크 해제되어 있다면, 기본적으로 내부뷰어로 JPG를 보여줍니다.

만약, 선택된 파일에 대한 내부뷰어가 없다면, 뷰어 컴포넌트(Viewer Component)에 체크가 되어 있는지 여부에 따라 미리보기가 달라집니다.

[Activate separate viewer component]에 체크되어 있으면, 해당 뷰어 컴포넌트를 이용하여 미리보기합니다.

체크안되어 있으면, Preview 모드에서는 파일 일부에 대한 ASCII 문자 값만을 보여주게 됩니다.

미리보기가 내부뷰어에 의한 것인지, 뷰어 컴포넌트에 의한 것인지 구별하는 방법은

Preview 모드에서 우클릭 하여 컨텍스트 메뉴가 보이면 뷰어 컴포넌트에 의하여 미리보기 되고 있음을 의미합니다.

Preview 모드는 링크 파일과 같이 파일 헤더의 내부구조를 읽기 쉽게 보여줍니다.

Preview 모드를 선택하면 Raw 모드 버튼이 추가됩니다.

Raw 모드는 선택된 파일의 원본 데이터를 보여줍니다.

예) HTML을 선택하면, Preview 모드에서는 랜더링된 웹페이지 화면을 보여주고, Raw 모드에서는 HTML 소스를 보여줍니다.

 

Details 모드

선택된 개체에 대한 Directory Browser의 모든 컬럼을 읽기 쉽게 보여줍니다.

 

Gallery 모드

사진/그림 파일을 썸네일(Thumbnails) 형식으로 보여줍니다.

사진/그림 파일이 아닌 경우에는 파일 이름과 크기 등 파일 요약 정보를 보여줍니다.

Gallery 모드는 자체 사진/그림 뷰어로 보여줍니다.

 

Calendar 모드

타임라인 분석할 때 유용합니다.

 

Directory Browser 모드 (탐색기 아이콘)

누르면 Directory Browser가 표시됩니다.

 

Sync 모드

DB에서 파일을 선택하면, DT에서 해당 디렉터리를 연동시켜서 보여줍니다.

Explore recursively 에서 사용할 때 효과적입니다.

 

Explore recursively 모드

Directory Browser에서 회귀적(전체를 한 바퀴 돌아 제자리로 오는 것)으로 모든 개체를 보여줍니다.

 

Search hit list 모드

키워드 검색 결과를 보여줍니다.

 

Events 모드

파일 내부의 시간정보, 웹브라우저 기록, 이메일, 파일시스템저널, 링크파일 등에서 시간 정보를 가져와서 포괄적으로 보여줍니다.

반드시 RVS가 선행되어야 합니다.

 

Position manager 모드

Volume/Partition, File 모드에서 파일을 볼 때 데이터 블록을 지정해서 별도의 주석을 달 수 있습니다.

데이터 블록 지정 --> 우클릭 --> Add position, 주석 열람은 Navigation --> Position Manager

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide