[XWF] RVS (Refine Volume Snapshot) (4)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 RVS (Refine Volume Snapshop) 마지막 시간 입니다. 모두 화이팅 하세요.!!!

 

[Extract e-mail messages and attachments from] 옵션

다양한 이메일 아카이브 파일에서 이메일 메시지와 첨부 파일을 추출하게 합니다.

지원 가능한 이메일 박스는 다음과 같습니다.

- *.pst;*.ost;*.edb;*.dbx;*.pfc;*.mbox;*.eml;*.emlx;*.mht;*.olk14MsgSource;*.msg;*.oft;*.mbs;store.fdb

- Outlook Personal Storage (.pst)

- Office Storage (.ost)

- Exchange (.edb)

- Outlook Message (.msg)

- Outlook Template (.oft)

- Outlook Express (.dbx)

- Kerio Connect (store .fdb)

- AOL PFC 파일

- 모질라 메일박스

- 일반 메일박스 (mbox, Unix mail format)

- MHT Web Archive (.mht)

위 이메일 박스에 저장된 이메일 메시지는 .eml 파일로 가져올 수 있습니다.

생성일시는 이메일 메시지 헤더에 기록된 Date 정보를 가져옵니다.

수정일시는 이메일 메시지 헤더에 기록된 Delivery-Date 정보를 가져옵니다.

Directory Browser의 Sender, Recipient에 관련 정보가 표시됩니다.

RVS를 하지 않아도 기본적으로 VS에서 이메일 박스의 내용을 볼 수는 있지만, RVS를 하는 것이 좋습니다.

RVS를 하지 않으면, Preview 에서 이메일에 대한 열람만 가능합니다.

RVS를 해야만 이메일을 .eml 형태로 가져올 수 있습니다.

PST 메일박스 내부의 비할당 영역에 남아 있는 잔존 이메일 메시지도 자동으로 복원하여 줍니다.

패스워드로 보호된 PST 메일박스도 처리할 수 있습니다.

 

[Uncover embedded data in miscellaneous file types] 옵션

파일에 임베디드 되어 있는 데이터 추출기 입니다.

파일 헤더 시그너처 검색을 통해 다른 종류의 파일에 임베디드 되어 있는 파일을 가져올 수 있습니다.

지원되는 파일의 종류는 다음과 같습니다.

- *.pdf;*.doc;*.ppt;*.pps;*.xls;*.ole2;*destinations-ms;

- *.spl;*.jpg;thumbcache_idx.db;*.thumbsdb;*.thumbsw7;thumbs.db;*.cmmm;*.thumbcache;ehthumbs_vista.db;.thumbdata3*;AdobeBridgeCache.bc;cache.db;_CACHE_MAP_;thumbindex.db;*.cr2;*.tec;*.itc2;index;*.sqlitedb;*.bplist;*.plist;*.vcf;*.nb20;*.mp3;*.b64;*.jbf;*.info;

이렇게 가져온 파일은 최초의 임베디드 되었던 그 파일 아래에 자식개체로 추가하여 줍니다.

예) 프린터 페이지 파일(.spl)에 임베디드 되었던 .emf

 

 

[Export JPEG pictures from videos] 옵션

디지털 동영상을 분석할 때 시간을 절약하게 합니다.

동영상 전체를 시청하면서 분석하는 대신, 관련성 있어 보이는 파일의 일부분만을 분석하는 방법으로 분석의 속도를 높입니다.

캡쳐된 사진을 스크롤하면서 보는 것이 동영상 전체를 시청하는 것보다 속도가 훨씬 빠르기 때문입니다.

다음 동영상 포맷에서 JPEG 파일을 저장하게 합니다.

- *.3gp;*.3gpp;*.asf;*.avi;*.divx;*.flv;*.m1v;*.m4v;*.mkv;*.mov;*.mp4;*.mpeg;*.mpg;*.nsv;*.nut;*.nuv;*.qt;*.rm;*.rmvb;*.vob;*.wmv;*.m2ts

동영상에서 얼마나 자주 프레임을 생성할 것인지 크기를 조절할 수 있습니다. (즉, 짤라내는 크기를 조절 가능)

 

 

DRM으로 보호되고 있는 동영상의 경우에는 XWF에서 처리할 수 없습니다.

이 경우, Directory Browser의 Attr. 컬럼에 e!로 표시됩니다.

캡쳐된 사진은 피부색 비율을 분석하여 음란동영상 등을 찾아 낼 수 있게 합니다.

FTK의 Create Thumbnails for Videos 와 유사합니다.

 

[Picture Processing] 옵션

피부색 분석기 및 흑백문서 탐지기 입니다.

지원하는 파일의 타입은 다음과 같습니다.

- JPEG, PNG, GIF, TIFF, BMP, PSD, HDR, PSP, SGI, PCX, CUT, PNM/PBM/PGM/PPM, ICO 등

피부색 비율을 계산하여 Directory Browser의 SC% 컬럼에 표시합니다.

피부색 비율을 계산할 수 없는 경우에는 ‘물음표’가 표시됩니다.

흑백탐지 기능을 이용하여 스캔하거나 팩스로 보낸 문서를 찾아 낼 수 있습니다.

아동포르노물 분석시 피부색 비율로 정렬을 하고, 가장 관련성 있는 사진을 보는 방법으로 분석할 수 있습니다.

FTK의 Explicit Image Detection과 유사합니다.

 

 

[File format specific and statistical encryption tests] 옵션

암호 여부를 찾기 위해 255 바이트 이상의 파일을 대상으로 검색합니다.

찾은 파일은 Attri. 컬럼에 e?로 표시됩니다.

 

XWF에서 탐지할 수 있는 암호의 종류는 다음과 같습니다.

- 암호화된 컨테이너 파일 

TrueCrypt, PGP Desktop, BestCrypt, DriveCrypt

- 문서파일

.doc, .xls, ppt, .pps, .mpp, .pst, .xlsx, .pptx, .ppsx. odt; .dos, .pdf

- DRM

- Microsoft Office Documents

- eCryptfsencycrop

- Linux Enterprise Cryptographic File System

Attri 컬럼에 E 로 표시됩니다.

- 압축파일

.zip, .rar, .tar, .gz, .7z, .arj, .cab, .jpg, .png, .gif, .tif, .mpg, and .swf

위 압축파일을 대상으로는 암호화 여부를 검사하지 않습니다.

VS에 포함되어 있을 경우, 아카이브들은 암호화 된 것으로 탐지됩니다.

 

TureCrypt와 같은 암호화 되어 있는 컨테이너 파일을 찾는 방법

Directory Browser의 Size 컬럼을 정렬후, 가장 큰 파일을 검색하는 것이 효과적입니다.

 

[Indexing] 옵션

 

 

[In selected evidence objects] 옵션

RVS에 포함시킬 증거이미지(증거객체)를 선택하게 합니다.

 

RVS의 결과

옵션은 처리시간을 최소화 하기 위하여 필요한 것만 선택하는 것이 바람직 합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide