[XWF] RVS (Refine Volume Snapshot) (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘부터 XWF의 가장 중요한 기능인 RVS (Refine Volume Snapshot)에 대해 알아 보겠습니다. 다만 RVS 인터페이스는 최신 버전(20 버전대)과 조금 다르므로 참고하시기 바랍니다. 그럼 이제 시작해볼까요.

 

RVS 시작하기

전체 인터페이스 모습

 

 

 

[Take new one] 옵션

새로운 VS가 강제로 생성됩니다.

만약 RVS를 새로 하게 되면, 기존에 수집하고 처리하였던 모든 데이터, 주석, 보고서 테이블과 관련된 모든 정보가 삭제됩니다.

즉, VS를 초기화 시키는 결과가 발생합니다.

 

Already done? 표시

체크가 되어 있다면, 이전의 RVS에서 이미 완전하게 적용(모든 파일에 대해 적용)하였던 옵션임을 의미 합니다.

반만 체크 되어 있다면, 이전의 RVS에서 불완전하게(일부 파일에 대해서만 적용, 예: 태그된 것만 적용한 경우) 적용하였던 옵션임을 의미합니다.

 

[Run X-Tensions] 옵션

체크하면, XWF API 형식을 준수하는 DLL을 실행할 수 있게 해 줍니다.

 

[Particularly thorough file system data structure search] 옵션

EnCase의 ‘Recovery Folders’, FTK의 ‘Meta Carve’와 비슷한 기능입니다.

반드시 추가적으로 사용해야 하는 기능입니다.

파일시스템 수준에서의 폴더 복구라고 할 수 있습니다.

삭제된 파일을 재구성하고 복원하며, 기존의 파일 이름을 보여줍니다.

이 옵션을 통해 복원되는 정보는 다음과 같습니다.

 

FAT12/16/32

- 부모 디렉토리가 없는 자식 디렉토리

NTFS

- 현재 MFT 또는 VSC에 포함되지 않는 섹터의 FILE 레코드에 있는 파일 흔적들

- 기존의 이름 및 경로를 포함한 INDX와 $LogFile에 있는 파일 흔적들

- 현재 또는 기존에 있던 VSC 호스트 파일에서 참조하는 파일들

- 현재 또는 기존에 있던 VSC 호스트 파일에 있는 오래된 $LogFile 버전에 있는 파일 흔적들

 

VSC에서 찾은 모든 파일엔 Directory Brower의 Attr. 컬럼에 SC 또는 SC prev. version으로 표시합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide