[XWF] 타임라인, 이벤트, Free Space, Slack Space

안녕하세요. 도깬리 포렌식스 입니다.

설 명절 잘 보내고 계시지요? 다시 X-ways 시리즈를 이어 가겠습니다. 오늘은 타임라인과 이벤트, Free Space, Slack Space에 대해 알아 보겠습니다. 모두 화이팅 하세요.

 

타임라인과 이벤트 분석

파일시스템의 MAC Time과 파일 헤더의 Timestamp를 혼합하여 포괄적인 타임라인을 생성할 수 있습니다.

 

달력 모드 (Calendar 모드)

 

 

이벤트 뷰(Events View)

RVS를 해야만 이벤트 뷰 버튼이 나타납니다.

즉, 이벤트 목록을 보기 위해서는 반드시 RVS를 실행해야만 합니다.

특히 RVS에서 [Event internal metadata, browser history, and events] 옵션을 반드시 실행해야 합니다.

이것은 내부 타임스탬프 정보, 브라우저 기록, 이메일, 파일시스템 저널, 링크 파일 등의 정보를 파싱합니다.

 

이벤트 뷰의 장점

타임라인 분석에서 사용되는 시스템의 MAC 정보 뿐만 아니라, 훨씬 더 많은 타임스탬프를 함께 볼 수 있습니다.

사용자가 쉽게 변경할 수 없는 메타데이터 정보를 가져와서 보여주어, 데이터에 대한 크로스체크와 상관관계를 확인할 수 있습니다.

 

Event 뷰 사용시에만 나타나는 Directory Browser의 컬럼

Timestamp

메타데이터에서 가져온 날짜와 시간 정보가 표시됩니다.

 

(이벤트) Type

Timestamp를 어디서 가져 왔는지 표시합니다.

(파일) Type와 같은 것이 아닙니다.

 

(이벤트) Category

(이벤트) Type 보다 더 높은 수준의 그룹을 표시합니다.

 

Description

특정이벤트의 경우에만 표시됩니다.

예) 레지스트리의 경우 Description 컬럼에 해당 키값이 표시, Internet 이벤트의 경우 URL이 표시

 

 

빈 공간 및 슬랙 공간

특정한 데이터를 파일로 내보내기 하여 패스워드 크래킹과 같은 용도로 활용가능합니다.

 

[Gather Free Space] 옵션

활성화된 논리적 드라이브에서 사용되고 있지 않는 모든 클러스터를 수집하여 이를 파일에 저장합니다.

 

[Gather Slack Space] 옵션

활성화된 논리적 드라이브에서 슬랙 공간에 있는 모든 파일을 수집합니다.

그 결과로 생성되는 파일에는 슬랙 데이터가 발견된 클러스터의 주소도 표시됩니다.

 

[Strip initial zero bytes from all occurrences of slack space] 옵션

슬랙 공간 시작 부분의 모든 0x00 부분을 제거합니다.

0바이트로 시작되는 부분이 제거 되기 때문에 파일에 저장될 데이터의 양이 감소됩니다.

 

[Mask non-printable characters] 옵션

화면에 문자로 표시할 수 없는 모든 헥스 문자를 스페이스(0x20)로 변환합니다.

문자열을 식별하기가 용이합니다.

 

[Gather Inter-Partition Space] 옵션

파티션으로 할당되어 있지 않은 모든 하드디스크 섹터에서 데이터를 수집합니다.

 

[Gather Text] 옵션

화면에 문자로 표시할 수 있는 문자열만 수집하여 파일에 저장시킵니다.

Unix의 strings 명령어와 비슷합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide