[XWF] X-ways에서의 인덱스 검색 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 XWF에서의 인덱스 검색에 대해 알아 보겠습니다. 모두 화이팅하세요!!!

 

인덱스 검색 개요

인덱스 검색 vs 키워드 검색

인덱스를 만들게 되면 검색시간을 줄일 수 있는 장점이 있습니다.

그러나, 모든 케이스에 인덱스를 만들 필요는 없습니다.

사용자가 직접 검색을 시작하기 전에, 모든 단어에 대한 검색결과를 미리 찾아서, 이를 DB에 저장을 하게 됩니다.

검색 키워드가 불명확하거나 많고, 장기간의 조사가 불가피한 경우, 리뷰어(reviewer)가 여러 명으로 협업을 하고 있는 경우, 인덱스 검색을 하는 것이 좋습니다.

만약, 키워드가 명확하거나 적고, 시급히 단독으로 분석을 계속 해야 하는 경우에는 키워드 검색이 바람직합니다.

 

인덱스 생성

25개 이상의 사전에 정의된 알파벳을 포함하여 유니코드에서 지원하는 모든 언어에 대한 인덱스를 만들 수 있습니다.

 

케이스와 인덱스 및 증거이미지의 구성 방식

증거이미지와 케이스(또는 인덱스)는 서로 다른 기기에 셋팅하는 것이 속도 측면에서 좋습니다.

 

 

[Index words composed of these characters] 옵션

인덱스를 생성할 때 사용할 문자를 정의합니다.

수동 입력 또는 자동 선택을 할 수 있습니다.

 

[Include substrings] 옵션

체크하면, 복합 단어에서 찾은 개별 단어를 인덱스에 포함시키게 됩니다.

예) lifetime에서 찾은 개별 단어 time도 인덱스에 포함

단어의 일부도 검색해야 한다면 이 옵션을 선택하는 것이 바람직합니다.

 

[Match case] 옵션

체크하면, 대소문자를 구분하여 인덱스에 포함합니다.

체크안하면, 하나로 인식되어 하나만 인덱스에 포함합니다.

체크 안하는 것이 좋습니다

‘사전공격’에 사용할 단어의 목록(패스워드 DB)을 만들 때 유용합니다.

 

[Exceptions] 옵션

체크하면, Word lengths 의 범위 밖에 있는 단어를 포함(+ 표시)하거나 제외(- 표시)할 수 있습니다.

XWF 루트 디렉터리에 기본 설치되어 있는 indexwds.txt 파일을 참조합니다.

인덱스에 포함시킬 단어가 있다면 위 파일에 추가해야 합니다.

위 파일에 추가하지 않고, 새로운 파일을 생성할 경우라면, 반드시 UTF-16LE 형식으로 인코딩해야 합니다.

인덱스에서 단어를 포함시킬려면 +문자를 앞에 붙이고, 제외시킬려면 – 문자를 앞에 붙입니다.

 

[Word lengths] 옵션

인덱스에 포함시킬 단어의 최소길이와 최대길이를 지정 가능합니다.

 

[Character substitutions] 옵션

인덱스에 사용할 문자를 다른 것으로 바꾸어 줄 수 있습니다.

예) 유럽의 문자에 있는 악센트 표시, 윗 쌍점 표시 등을 다른 문자로 대체해줌

위 특수문자들은 기본설치 되어 있는 indexsub.txt 파일에 입력해야 합니다.

위 파일에 추가하지 않고, 새로운 파일을 생성할 경우라면, 반드시 UTF-16LE 형식으로 인코딩해야 합니다.

 

[Code pages] 옵션

최대 6가지 다른 인덱스 형식을 선택 가능하게 합니다.

즉 코드페이지 마다 하나의 인덱스가 생성됩니다.

 

 

인덱스의 위치

인덱스가 저장되는 디렉터리는 증거객체의 하부 디렉터리에 생성됩니다.

메타데이터 디렉터리(_가 붙어 있는 디렉터리) 아래에 저장되어 있습니다.

 

인덱스의 삭제

삭제하고 싶은 인덱스에 해당하는 디렉터리를 삭제하면 됩니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide