[XWF] 헥스 창에서의 다양한 분석 기능 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 XWF에서 Data Interpreter를 사용하는 방법과 헥스 창에서의 다양한 분석기능을 살펴 보겠습니다. 모두 화이팅 하세요!!!

 

헥스 창에서 작업하기

Volume/Partition, File 모드에서 바이너리 데이터 블록을 읽기 편한 형식으로 변환하기 위하여 [Data Interpreter] 를 사용합니다.

어떤 데이터 블록이 선택되었는지 여부와는 상관 없이 현재 커서가 위치하고 있는 데이터를 자동으로 변환시켜 줍니다.

데이터 블록으로 인식하지 않고, 예를 들면 단순히 타임스탬프의 첫 번째 바이트 문자를 클릭하기만 하면 자동으로 변환됩니다.

 

[Data Interpreter] 보기

[View] --> [Show] --> [Data Interpreter]

 

[Data Interpreter] 설정

[Options] --> [Data Interpreter]

 

 

데이터 블록을 정의하는 방법

마우스로 드래그 하는 게 가장 쉽습니다.

[Beginning of block]과 [End of block]를 이용해도 됩니다.

Alt+1, Alt +2 키를 이용해도 됩니다.

 

사용자 검색 결과를 키워드 검색 결과에 추가하기

Volume/Partition, File 모드에서 어떤 특정한 데이터 블록을 키워드로 하여 기존의 키워드 검색 결과에 즉시 추가시킬 수 있습니다.

데이터 블록을 지정한 후 [Add to User search hits] 옵션을 클릭합니다.

사용자 검색 결과는 Search Term List에서 열람 가능합니다.

 

 

사용자 검색 결과를 하나의 파일로 추가하기

Volume/Partition, File 모드에서 어떤 특정한 데이터 블록을 키워드로 하여 새로운 가상파일을 만들어 기존의 Directory Browser의 해당 파일의 하위 개체로 붙여 줄 수 있습니다.

 

 

기타 옵션

데이트 블록 지정후 컨텍스트 메뉴에서 [Edit] 옵션 사용하기

 

[Copy Block] 아래의 옵션들

[Hex Values] 옵션

구분 문자 없이 선택된 데이터를 클립보드에 복사합니다.

 

[Editor Display] 옵션

일종의 ‘화면캡쳐’ 역할을 합니다.

선택된 데이터와 오프셋, 컬럼헤더가 클립보드에 복사됩니다.

 

[GREP Hex] 옵션

선택된 데이터가 GREP 형식으로 변환되어 클립보드에 복사됩니다.

‘동시 검색’에서 추가적으로 GREP 형식으로 변환할 필요가 없어 매우 편리합니다.

 

[Add Block as Virtual File] 옵션

단순히 검색결과를 목록으로 표시하지 않고, 데이터 블록을 가상파일로 케이스에 추가할 수 있습니다.

보고서에 가상 파일을 추가할 수 있기 때문에 매우 유용합니다.

 

가상파일의 위치

Volume/Partition 모드

\Path unknown\Carved files 아래에 가상파일이 생성됩니다.

 

File 모드

Directory Browser에서 선택된 파일의 자식개체로 생성됩니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide