[XWF] X-ways의 검색기능 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 XWF의 검색기능에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!

 

[Cover file slack/free space transition] 옵션

[Open and search files incl. slack] 옵션이 체크 또는 반만 체크되어 있을 경우에만 활성화됩니다.

체크하면, 파일 슬랙을 검색할 때 주변에 있는 빈 공간도 함께 검색합니다.

 

 

[Decode text in files] 옵션

체크하면, 뷰어 컴포넌트를 사용하여 파일의 내용을 디코딩합니다.

파일에서 가져온 디코딩된 텍스트를 보기 위해서는 Directory Browser에서(Search Hit List가 아님) 파일을 선택한 다음 Preview 모드로 전환해야 합니다.

지원되는 포맷은 다음과 같습니다.

*.pdf;*.docx;*.pptx;*.xlsx;*.odt;*.odp;*.ods;*.pages;*.key;*.numbers;*.eml;*.wpd;*.vsd

Preview 모드에서 Raw 버튼을 클릭하면 이상한 문자가 표시됩니다. Shift + Raw 버튼을 클릭해야 디코딩된 텍스트가 표시됩니다.

 

 

[In selected evidence objects] 옵션

[All objects in volume snapshot]과 [Search all tagged objects] 옵션을 선택하면 나타납니다.

다른 증거이미지도 추가할 것인지 선택 가능합니다.

 

추가 검색 옵션

[Omit files classified as irrelevant] 옵션

체크하면, 해시 데이터베이스에서 irrelevant(관련 없는 파일)로 평가된 파일은 제외하고 검색을 진행합니다.

 

[Omit excluded files] 옵션

체크하면, Directory Browser에서 excluded items에 해당하는 파일은 제외하고 검색을 진행합니다.

Directory Browser에서 현재 보이는지 여부는 상관 없습니다.

 

[Omit directories] 옵션

체크하면, 디렉터리를 정의하는 파일시스템의 데이터 구조체(예: NTFS의 INDX 데이터)를 제외하고 검색을 진행합니다.

디렉터리 안의 파일을 검색에서 제외시키는 것이 아닙니다.

 

[Omit files that are filtered out] 옵션

체크하면, 필터링하여 제외된 파일을 제외하고 검색을 진행합니다.

즉, 필터링된 것 만을 대상으로 검색 수행합니다.

 

[Recommendable data reduction] 옵션

체크하면, XWF가 특정한 파일을 제외하고 검색을 진행합니다.

예) RVS를 통해 MBOX 메일박스가 처리된 경우, XWF에서는 MBOX 안의 이메일 메시지들을 자식개체로 생성합니다. 위 옵션을 사용할 경우, 자식개체만을 검색대상에 포함시키고, 메일박스 자체는 검색에서 제외하게 됩니다.

단점은, 자식개체로 가져오지 못한 부분에 대해서는 검색에서 누락되는 위험이 있습니다.

 

[1 hit per file needed only (faster)] 옵션

체크하면, 검색어와 일치하는 단어를 하나라도 찾으면 그 순간 해당 파일에서 검색이 중단됩니다.

 

검색 방식

[Logical (file-wise)] 옵션

가장 강력한 방식입니다

기본으로 설정되어 있습니다.

파일이 조각나 있든, 그렇지 않든 상관없이 파일 내용을 검색합니다.

이 방식으로 워드 파일, PDF 파일, 아카이브 파일 등 디코딩 되어 있는 파일의 텍스트도 검색할 수 있습니다.

 

[Physical (sector-wise)] 옵션

LBA(Logical Block Addressing)의 섹터 순서대로 검색을 수행합니다.

파일이 조각나 있고, 사용자가 입력한 검색어가 여러 조각에 분산되어 있는 경우 해당 데이터를 못 찾을 수도 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide