[XWF] RVS (Refine Volume Snapshot) (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 XWF의 RVS (Refine Volume Snapshot) 기능에 대해 알아 봅니다. 특히 오늘은 파일 카빙(File Carving) 파트가 포함됩니다. 모두 화이팅 하세요!!!

 

[File header signature search] 옵션

‘파일카빙(File carving)’입니다.

파일 헤더의 시그너처 정보를 기반으로 파일을 찾아줍니다.

 

[Default file size] 옵션

푸터(footer)가 없거나, 푸터가 정의되어 있지만 찾을 수 없는 경우에 파일의 크기를 정해서 잘라내야 합니다.

 

[Max file size] 옵션

파일을 잘라 낼 때, 파일 크기를 정할 수 있습니다.

사전에 그 크기를 추정할 수 있다면, 좀 더 정확한 크기를 입력하는 것이 좋습니다.

 

[Filename prefix] 옵션

파일 카빙의 단점은 복원된 파일의 이름을 알 수 없다는 것 입니다.

카빙된 파일의 이름에 특정한 단어를 넣어 표시하게 합니다.

 

[Intelligent naming, where possible] 옵션

카빙된 파일에 존재하는 메타데이터를 기반으로 파일 이름을 자동으로 생성하게 합니다.

예) EXIF 데이터의 경우 카메라 모델명을 파일의 이름으로 자동 생성하고, 일부의 경우 사진 생성 시간이 파일의 이름이 되기도 합니다.

 

파일 카빙의 대상이 되는 영역 설정 옵션들

[to look for the file headers everywhere] 옵션

모든 곳을 대상으로 파일 헤더를 검색합니다.

 

[searching headers in free clusters only] 옵션

비할당 영역만을 대상으로 파일 헤더를 검색합니다.

 

[in allocated space only] 옵션

정상파일 영역만을 대상으로 파일 헤더를 검색합니다.

파일이 중복되는 것을 방지하기 위해 최초 VS에 있는 파일은 카빙되지 않습니다.

 

[Always ignore start sectors of known files] 옵션

파일이 중복되는 것을 방지하여 주는 옵션입니다.

정상파일, (복원가능한)삭제파일은 제외하고 나머지를 복원합니다.

 

파일 헤더를 어떻게 어디서 검색한 것 인지 결정하는 옵션들

[Respect individual cluster boundary flags] 옵션

클러스터를 경계로 파일 헤더를 검색합니다.

 

[Search at all sector boundaries] 옵션

모든 섹터를 경계로 파일 헤더를 검색합니다.

좀 더 철저한 검색이 가능합니다.

 

[Respect individual byte/cluster boundary flags] 옵션

 

[Complete byte-level search] 옵션

메모리에 있는 기록 또는 특정 파일 형식에 있는 기록 등 특수한 데이터를 찾을 때 유용합니다.

 

[Compensate for NTFS compression] 옵션

NTFS가 압축한 파일을 찾아서 압축 파일로 표시하고 이 파일의 압축을 해지할 수 있게 합니다.

 

 

[Apply the selected operations to *all* files] 옵션

VS에 있는 모든 파일에 선택된 작업을 적용합니다.

 

[Apply to tagged files only] 옵션

태그한 파일에 대해서만 RVS를 적용합니다.

예외) Directory Browser의 컨텍스트 메뉴에서 RVS를 실행하면 선택된 파일에만 적용됩니다.

 

[Omit files classified as irrelevant] 옵션

해시 데이터베이스에서 관련 없는 데이터와 일치하는 경우, 이런 파일은 무시합니다.

 

[Omit hidden files] 옵션

숨겨진 파일은 제외하고 RVS를 실행합니다.

 

[Omit files that are filtered out] 옵션

필터 때문에 보이지 않는 파일은 제외하고 RVS를 실행합니다.

 

[Compute hash] 옵션

중복 파일을 제거할려면 먼저 해시값을 계산해 두어야 합니다.

 

[Match hash values against hash database] 옵션

'해시 분석기' 입니다.

해시값을 선택하면 이 부분이 활성화 됩니다.

체크하면, RVS를 적용할 때 해시 데이터베이스에 있는 해시값과 파일의 해시값의 일치 여부를 알려줍니다.

EnCase와 FTK의 [File Signature Analysis]와 유사합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide