[XWF] X-ways의 검색기능 (1)

안녕하세요. 도깬리 포렌식스 입니다.

애독자님들 새해 복 많이 받으세요. 오늘은 XWF의 검색 기능에 대해 알아 봅니다. 모두 화이팅하세요!!!

 

XWF의 검색 기능

XWF는 단순 문자열 검색(키워드 검색), 정규 표현식 검색(Grep 검색), 혼합 검색을 지원합니다.

XWF는 단순 물리적 검색, 슬랙공간 검색 등을 지원합니다.

XWF는 디스크에 저장된 상태 그대로의 파일 내용 검색, 복잡한 파일을 디코딩하여 그 내용까지 검색(EnCase의 Transcript 탭, FTK의 Filtered 탭) 가능합니다.

 

동시검색 (Simultaneous Search, SS)

단순 문자열 검색과 정규 표현식 검색을 ‘동시에’ 할 수 있다는 의미입니다.

키워드 검색, GREP 기반 검색, 전체단어 검색, 인코딩된 파일의 텍스트 검색 등 다양한 옵션을 갖고 있습니다.

XWF에서는 사건의 유형에 따라 사용자가 어떤 파일을 검색할지 지정할 수 있습니다.

Directory Browser의 Type 컬럼에서 워드문서만을 필터링한 후 그것만을 대상으로 검색하는 것이 좋습니다.

[Search] --> [Simultaneous Search]

 

검색어와 코드 페이지

- 단순 문자열

- GREP syntax

- 검색에 사용된 코드페이지 : 최대 6개까지

 

검색방법 관련 옵션

 

 

[Match Case] 옵션

체크하면, 알파벳 대소문자 구분하여 검색할 수 있게 합니다.

 

[GREP syntax] 옵션

 

[Whole words only] 옵션

체크하면, [Alphabet to define word boundaries] 옵션에 포함된 문자를 기반으로 아래에 설명한 요건을 충족하는 단어만을 검색하게 합니다.

- 전체단어 검색이라고 할 수 있습니다.

- 예) range 검색시 range 검색됨, orange는 검색 안됨

반만 체크하면, 단어 앞에 Tab을 포함하는 검색어에만 체크한 경우와 동일한 내용이 적용됩니다. (즉, Whole Word 옵션이 선택적으로 적용됨)

- 이것도 전체단어 검색이라고 할 수 있습니다.

- 실제로 사용시, 반만 체크하여 사용하는 것이 좋습니다.

- 예) range 검색시 range 검색됨, orange는 검색 안됨

체크안하면, 단어의 일부만 일치해도 검색결과에 나타납니다.

- 단순 문자열 검색입니다.

- 예) range 검색시 range, orange도 검색됨

 

[Alphabet to define word boundaries] 옵션

‘word boundaries’ 단어 경계

두 개의 연속적인 문자의 경계를 설정합니다.

하나는 단어에 사용되는 문자, 다른 하나는 단어에 사용되지 않는 문자

 

[Cond: offset mod (Condition offset modulo)] 옵션

특정한 오프셋에서의 특정한 문자열을 검색하는데 이용됩니다.

검색의 정확도를 높여줍니다.

- X : 검색의 시작점 (파티션이나 파일의 시작 오프셋)

- Y : X로부터 얼마나 떨어져 있는 지 표시

10진수 값을 넣는게 좋습니다.

예) MFT Record 시작점으로부터 20바이트 떨어진 곳에 있는 ‘8’이라는 값값 찾을 때 à X = 1024, Y = 20으로 설정하면 됨

 

[Run X-Tensions] 옵션

동시검색에서 X-Tensions API를 사용하는 플러그인을 사용하게 합니다.

 

검색위치 관련 옵션

[All objects in volume snapshot] 옵션

볼륨에 있는 모든 개체를 대상으로 검색을 수행하게 합니다.

 

[Search all tagged objects] 옵션

태그된 모든 개체를 대상으로 검색을 수행하게 합니다.

 

[Search all selected objects] 옵션

Directory Browser에서 선택한 개체를 대상으로 컨텍스트 메뉴에서 ‘동시 검색’을 수행할 때 나타나는 옵션입니다.

 

[Search in file contents (data)] 옵션

파일 내용을 대상으로 검색을 수행하게 합니다.

 

[Search in Directory Browser cells (metadata)] 옵션

Directory Browser의 컬럼 항목 (Name, Author, Sender, Recipients, Metadata 등)을 대상으로 검색을 수행하게 합니다.

 

[Open and search files incl. slack] 옵션

체크하면, 모든 슬랙 공간을 검색하게 합니다.

반만 체크하면, 파일의 슬랙 공간과 숨겨지거나 필터링된 파일은 검색에서 제외합니다.

즉, 숨겨져 있지 않은 파일, 필터링에서 분류된 파일만 검색합니다.

체크 안하면, 파일슬랙은 검색에서 제외됩니다.

예) Directory Browser에서 .doc 파일을 필터링하여 태그하고, 태그된 파일만을 대상으로 검색하는 경우 --> 반만 체크하는 것이 좋다.

예) Dirctory Browser에서 파일이 보이지 않는다면 --> 체크하는 것이 좋다. (이때는 슬랙공간 까지 검색하여 숨겨진 파일도 찾아야 하므로)

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide