[XWF] RVS (Refine Volume Snapshot) (3)

안녕하세요. 도깬리 포렌식스 입니다.

Merry! Christmas... 오늘도 XWF의 RVS (Refine Volume Snapshot)에 대해 알아 봅니다. 모두 화이팅하세요!!!

 

[Verify file types with signatures and algorithms] 옵션

확장자 변조 여부 분석기입니다.

실제 파일의 종류와 파일의 확장자의 일치 여부를 분석하여 그 결과를 보여 줍니다.

분석결과는 Type status 컬럼에서 확인 가능합니다.

- EnCase : 테이블의 Signature Analysis 컬럼에 Alias로 표시된 것을 정렬하는 방법으로 분석합니다.

- FTK : EP --> Flag Bad Extensions 를 실행하여 분석합니다.

 

[Extract internal metadata, browser history and events] 옵션

파일헤더의 메타데이터 추출기 입니다.

 

[File format consistency check] 옵션

특정 종류의 파일에 대한 손상의 여부를 탐지합니다.

그 결과는 Directory Browser의 Type status 컬럼에 표시됩니다.

 

[Extract content created date] 옵션

파일헤더에 기록되는 내부 생성날짜를 추출하여 줍니다.

그 결과는 Directory Browser의 Content Creation 컬럼에 표시됩니다.

파일의 내부 생성일자(예:작성일자)는 생성 날짜 중 가장 빠른 것으로, 실제 파일이 생성된(작성된) 시간과 가장 가까운 값이라고 할 수 있습니다.

 

[Copy metadata digest to Metadata column, for filter, report, search] 옵션

메타데이터를 추출하여 Directory Browser의 Metadata 컬럼에서 보여줍니다.

필터링, 보고서 작성, 검색시 도움이 됩니다.

 

[Restore original filesystem metadata from $I*, Manifest mbdx, …] 옵션

$I (Vista 이후 휴지통의 인덱스 파일), Manifest.mdbx (아이튠 백업파일)에서 메타데이터를 추출하여 복원시켜 줍니다.

 

[Extract sender and recipient from original .eml files] 옵션

이메일을 처리할 때 송수신자 데이터를 추출하여 Directory Browser에서 보여 줍니다.

 

[Create previews for browser databases, event logs, and $UsnJrnl:$J] 옵션

브라우저 데이터베이스, 윈도우 이벤트 로그, ₩$Extend₩$UsrJrnl 파일의 $J의 미리보기를 HTML 형식등으로 만들어 줍니다.

 

[Extract tables from various other SQLite databases] 옵션

SQLite 데이터베이스에서 테이블을 추출시켜 보여줍니다.

 

[Extract original revision of PDF documents] 옵션

 

타임라인 분석하기 전에 확인해야 할 사항

[Provide file system level timestamps as events] 옵션

 

[Provide internal timestamps in files as events] 옵션

 

 

[Include contacts of ZIP and RAR archives, etc.] 옵션

체크하면, ZIP, RAR 등 아카이브 파일의 내용을 검사하고, 아카이브 파일에 있는 모든 자식 개체를 생성하게 합니다.

체크안하면, 자식개체를 보지 않고, 전체 문서를 보게 합니다.

즉, 자식개체를 반드시 봐야 할 상황이 아니라면 해제하는 것이 좋습니다.

오늘날 대부분의 문서파일은 ZIP 아카이브입니다.

즉, 마이크로소프트의 오피스 문서파일도 압축파일이라고 할 수 있습니다.

암호화 파일인 경우에는 Directory Browser의 Attr. 컬럼에 e로 표시합니다.

압축을 여러 번 한 경우에도 제한이 없이 동작합니다.

즉, ZIP 파일 안에 ZIP 파일이 있는 경우에도 내용물을 보여줍니다.

다만, 분할 압축되어 있는 경우에는 지원되지 않습니다.

아카이브가 사용하는 코드 페이지를 선택하지 않은 경우에 아카이브에 있는 파일 이름이 제대로 표시되지 않을 수도 있습니다.

하지만 대부분의 경우, UTF-8 또는 기본 설정 코드 페이지를 사용하기 때문에 문제 없을 것 입니다.

문서안에 사진이 있는 경우, 사진과 같은 임베디드된 데이터를 별도로 보지 않고, 문서 전체를 한번에 보고 싶으면 체크 해제하면 됩니다.

- EnCase의 Protected File Analysis, Expand Compound Files 와 유사합니다.

- FTK의 Decrypt Files, Expand Compound Files 와  유사합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide