XWF

[XWF] Volume Snapshot의 기능과 옵션들

도깬리 2022. 12. 19. 06:30

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 XWF에서의 Volume Snapshot의 기능과 옵션에 대해 알아보겠습니다. 모두 화이팅하세요!!!

 

Volume Snapshot (VS)

XWF에서 자체적으로 생성하는 일종의 데이터베이스입니다.

증거 개체에 있는 데이터와 관련된 정보를 저장해 둡니다.

증거 개체마다 VS가 생성되며, XWF 인터페이스에서는 VS에 있는 데이터를 가져와서 그 정보를 Directory Tree, Directory Browser에 보여 주게 됩니다.

XWF로 케이스에 있는 파일이나 다른 개체들에 대하여 분석작업(: 파일을 읽음으로 표시하기, 파일 태그하기, 파일 숨기기 등)을 하게 되면, 그 결과값들은 VS에 저장하게 됩니다.

VSRVS 작업의 시작점입니다.

케이스 안의 증거 개체(그 안의 파일과 디렉터리)에 대해 XWF가 알고 있는 모든 것은 모두 VS에 저장합니다.

RVS를 사용하게 되면, 증거 개체를 추가로 분석하여 VS에 더 많은 정보를 추가하게 됩니다.

) 문서에 포함된 썸네일 찾기, 압축파일 탐색하기, 메타데이터 가져오기, 데이터베이스 테이블 내용 표시하기, 이메일 가져오기 등

XWF의 여러 핵심 기능들은 VS에 저장되어 있는 데이터를 참조하고 있습니다. 즉, 논리적인 검색, 인덱스, Directory Browser에서 한 행위들은 VS의 내용을 기반으로 하는 것이기 때문에 추가적으로 데이터를 찾기 위해서는 RVS를 반드시 실행하여야 합니다.

 

 

Volume snapshot Options 볼륨 스냅샷 옵션

 

[Options] --> [Volume Snapshot]

기본 설정이 가장 바람직합니다.

 

[Keep snapshots even without a case] 옵션

XWF가 닫은 후에도 수집한 정보가 임시 파일에 저장될 수 있게 합니다.

임시파일이 저장되는 곳은 [General Options] --> [Folder for temporary files]에서 지정합니다.

 

[Quick snapshots w/o cluster alloc] 옵션

체크하면, 모든 파일시스템에서 빠른 할당(quick allocation)이 사용됩니다.

반만 체크하면, EXTReiserFS 파일시스템에서만 빠른 할당이 사용됩니다.

체크안하면, 빠른 할당을 사용하지 않습니다.

 

[Inherit deleted state] 옵션

체크 하지 않음이 바람직합니다.

만약 체크하게 되면, 정상 파일과 삭제된 파일이 구분되지 않게 됩니다.

 

[Net free space computation] 옵션

체크하면, 삭제된 파일에 할당된 클러스터는 빈공간(Free space) 계산에 포함하지 않습니다.

 

[Keep more data in memory] 옵션

체크하면, 반만 체크하였을 때 메모리에 저장되는 것에 추가적으로 시간 기록이 메모리에 저장됩니다.

반만 체크하면, 추가적인 VS 데이터(시작섹터, 하드 링크 수, 피부색 비율 등)를 메모리에 저장합니다.

체크안하면, 추가적인 데이터를 메모리에 저장하지 않습니다.

 

[NTFS: Include LUS in snapshot] 옵션

체크하면, VS에 모든 LUS(logged utility stream)를 포함시킵니다.

반만 체크하면, $EFS 스트림이 아닌 것만 포함시킵니다.

체크안하면, VS에 아무런 LUS 정보가 저장되지 않습니다.

 

[Read ISO9660 even if Joliet present] 옵션

CD/DVD 스냅샷이나 이미지를 생성할 때 읽기 오류가 발생하면, ISO9660 중에서 읽기가 가능한 섹터에 있는 파일과 디렉터리를 복원할 수 있는 추가 기회가 생기게 됩니다.

 

[RAM: Headers of modules only] 옵션

RAM 모드에서 메모리 페이지를 할당하여 이미 알고 있는 해시셋과의 비교를 위해 해시를 계산할 수 있도록 해줍니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide

 

저작자표시 비영리 변경금지

'XWF' 카테고리의 다른 글

[XWF] RVS (Refine Volume Snapshot) (2)  (0) 2022.12.23
[XWF] RVS (Refine Volume Snapshot) (1)  (0) 2022.12.21
[XWF] Viewer Programs 옵션과 Security 옵션  (0) 2022.12.16
[XWF] Main Menu와 General Options  (0) 2022.12.14
[XWF] Status Bar와 Data Interpreter  (0) 2022.12.12

'XWF'의 다른글

  • 현재글[XWF] Volume Snapshot의 기능과 옵션들

관련글

댓글

티스토리툴바