안녕하세요. 도깬리 포렌식스 입니다.
오늘도 지난 회에 이어서 헥스 창에서의 다양 분석기능에 대해 알아봅니다. 모두 화이팅 하세요!!!
섹터 중첩 (일명 ‘섹터 바꿔치기’)
디스크의 특정 섹터가 손상되더라도 XWF는 해당 파일시스템을 분석하여 자동으로 디스크에 있는 데이터를 화면에 보여주지만, 그렇치 아니한 경우가 있을 수도 있습니다.
이러한 경우 ‘섹터 중첩’ 기능을 이용하면 복원이 가능합니다.
증거 이미지에 있는 데이터를 그대로 두고, 그 위에 정상적인 데이터를 중첩시켜서 보여 줍니다.
이를 위해서는 미리 손상된 섹터를 외부로 추출하여 정상적인 섹터로 수정하여 준비해두어야 합니다.
Volume/Partition 모드에서 해당 섹터를 블록 지정한 후, [Edit] --> [Superimpose sectors] 옵션을 사용합니다.
데이터를 중첩시켰으면, [View] --> [Refresh view]를 클릭하여 중첩시킨 데이터가 보여지도록 합니다.
증거 이미지 원본의 무결성에 영향을 미치지 않습니다. 중첩시켜서 보여주기만 할 뿐 입니다.
템플릿
Volume/partition 모드에서 사용 가능합니다
Boot Sector나 MFT 엔트리 등 시스템 영역으로 바로 이동하게 해줍니다.
Boot Sector, MFT Record, Directory Entry, Volume head 등에 대한 템플릿(13개)을 이용할 수 있습니다.
템플릿 목록은 [View] --> [Template Manager] 옵션으로 볼 수 있습니다
Template Manager를 통해 템플릿을 생성 또는 편집 가능 합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : X-ways Forensics Practitioner's Guide
'XWF' 카테고리의 다른 글
| [XWF] RAM 분석, 기타 기능 (0) | 2023.01.26 |
|---|---|
| [XWF] 타임라인, 이벤트, Free Space, Slack Space (0) | 2023.01.24 |
| [XWF] 헥스 창에서의 다양한 분석 기능 (1) (0) | 2023.01.17 |
| [XWF] X-ways에서의 환경 설정 파일 (0) | 2023.01.15 |
| [XWF] X-ways에서의 인덱스 검색 (3), 텍스트 검색, Hex 검색 (0) | 2023.01.12 |