[XWF] 해시 DB와 해시 분석(Hash Analysis)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 XWF의 해시 데이터베이스(Hash DB)를 이용한 해시 분석(Hash Analysis)에 대해 알아 보겠습니다. 모두 화이팅하세요!!!

 

해시분석 개요

사건과 관련된 파일을 가장 빨리 찾는 방법은 이미 존재하는 해시셋(해시DB)으로 분석대상 파일의 해시값과 비교해 보는 것입니다.

예) 아동포르노 파일의 해시값으로 분석대상 하드드라이브에 존재하는 파일의 해시값과 비교하여 조사

중복된 파일을 숨기고 필터링하여 관련 없는 파일을 제거하면 분석해야 하는 데이터의 양을 현저히 줄일 수 있습니다.

 

XWF 내부 해시 데이터베이스와 해시셋

해시 데이터베이스의 저장 위치는 다음과 같이 설정합니다.

[General Options] --> [Folder for internal hash database]

XWF가 실행 되고 있는 드라이브가 아니라 다른 드라이브에 저장하는 것이 속도 향상의 측면에서 바람직합니다.

 

 

해시 데이터베이스는 한 개이고, 그 안에 여러 개의 해시셋이 저장되어 있습니다.

 

해시셋의 종류

주목 할만한 해시 (notable)

- 사건과 관련 있는 해시

관련성 없는 해시 (irrelevant)

- 사건과 관련 없는 해시

모든 해시셋에는 최소 한 개의 해시값이 포함되어 있어야 합니다.

 

해시값 계산하기

[Compute hash] 옵션

 

[Match hash values against hash database] 옵션

해시셋이 적어도 한 개는 반드시 있어야 하며, 그렇치 않으면 오류 메시지 발생합니다.

 

해시셋 생성하기

해시셋을 만드는 방법은 다음과 같습니다.

- 외부에서 해시셋을 가져오기

- Directory Browser에서 선택된 파일을 기반으로 해시셋 생성하기

Directory Browser의 컨텍스트 메뉴에서 [Create Hash Set] --> [Add Hash Set to Database]

 

 

해시셋 내보내기 (Export)

해시 데이터베이스에서 원하는 해시셋을 내보내기 하면 텍스트 파일이 생성됩니다.

 

 

해시셋 통합 (Merge)

동일한 항목의 해시셋이 여러 개 있을 경우, 하나의 해시셋으로 통합도 가능합니다.

 

 

해시 분석결과 보기

Directory Browser의 Hash set 컬럼과 Hash category 컬럼에 그 결과가 표시됩니다.

 

해시셋 불러오기 (Import)

XWF가 아닌 다른 곳에서 해시셋을 생성하여 해시 데이터베이스로 불러올 수 있습니다.

[Tool] --> [Hash Database] --> [Import Hash Set]

폴더 안의 여러 개의 해시셋을 한꺼번에 가져올 수 있습니다.

[Hash Database] --> [Import Folder]

 

 

해시셋의 이름도 바꿀 수 있습니다.

[Hash Database] --> [Manage]

외부 해시셋은 텍스트 파일 형태로 작성되어야 하며, 다음과 같은 형식을 갖추어야 합니다.

 

 

공개용 또는 상용 해시셋 가져오기

인터넷으로 공개용 또는 상용 해시셋을 다운로드합니다.

예) The National Software Reference Library (NSRL)

 

중복된 해시값

파일의 해시값이 여러 개의 해시셋에 있는 해시값과 일치하는 경우, Hash set 컬럼에 각각의 해시셋의 이름을 모두 표시하여 분석에 도움을 줍니다.

 

하나의 해시셋에 중복되는 해시값이 여러 개 존재할 수는 없습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide