[XWF] Status Bar와 Data Interpreter

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 XWF의 Status Bar와 Data interpreter에 대해 알아 보겠습니다. 모두 화이팅 하세요!!

 

Status Bar

Volume/Partition 모드에서 사용할 경우

 

Sector

논리적 섹터 번호 / 볼륨의 총 섹터수를 표시합니다.

 

Offset

볼륨의 오프셋 시작점(16진수/10진수)을 표시합니다.

 

Selected value

선택된 바이트값(블록처리한 바이트)값을 10진수로 표시합니다.

 

Block

블록처리한 데이터의 시작점과 끝나는 점을 표시합니다.

 

Size

선택된 바이트의 수를 16진수 또는 10진수로 표시합니다.

File 모드의 경우, 한 개만 Volume/Partition 모드와 상이합니다.

 

Page

파일에서 보이는 현재 데이터의 페이지와 총 페이지 수를 표시합니다.

 

 

Status bar에서 오른 마우스

[Relative record offsets] 옵션

레코드에 대한 색깔 구분 기능입니다.

예) $MFT의 파일레코드

길이가 고정되어 있는 데이터로 작업을 할 때 각 데이터를 다른 색깔로 구분하여 표시 가능합니다.

 

[Apply different background color] 옵션

체크하면, 라인마다 다른 색으로 표시합니다.

[Options] --> [General Options] --> [Record background color] 에서 기본 색을 설정할 수 있습니다.

 

[Relative record offsets] 옵션

현재 커서가 있는 곳과 파일 맨 처음의 오프셋을 표시합니다.

 

 

Status bar에서 왼쪽 마우스

왼쪽 클릭하면 클릭한 세션과 관련된 옵션에 관한 컨텍스트 메뉴가 표시됩니다.

[Go To Sector] 옵션

 

[Go To Offset] 옵션

 

[Decimal Translation of Hex Values] 옵션

 

[Define Block] 옵션

 

 

Data Interpreter 

현재 커서가 있는 바이트를 다른 종류의 값으로 변환할 수 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide