[XWF] RAM 분석, 기타 기능

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 X-ways를 이용한 메모리 분석과 기타 기능에 대해 알아 봅니다. 모두 화이팅 하세요!!!

 

RAM 분석

32비트 윈도우의 경우 최대 4GB 까지의 메모리 덤프를 지원합니다.

일부 64비트 윈도우도 제한적으로 지원 가능합니다.

32비트 윈도우 2000이나 XP의 경우 메모리의 이미지를 생성할 수 있습니다.

다른 윈도우 버전의 경우에는 Moonsols DumpIt, winpmem 등을 사용할 것을 권고합니다.

다른 운영체제의 경우, F-Response와 함께 XWF를 사용하면 메모리 이미지 생성을 할 수 있습니다.

RVS를 통해 찾은 hiberfil.sys 파일의 압축을 해제하여 자동으로 메모리 덤프로 케이스에 추가할 수 있습니다.

 

메모리에서 XWF가 복원할 수 있는 증거데이터는

- 사진

- 레지스트리 하이브

- 프로그램

- 동영상

- 문서

- IP 패킷

- 윈도우 이벤트 파일

- 윈도우 바로가기(.lnk) 파일 등

 

메모리에서 복원된 데이터는 Path unknown 아래 Carved files에 저장됩니다.

Simultaneous Search (동시 검색)를 메모리 덤프에서 사용할 경우 물리적 검색과 논리적 검색을 구분하여 사용해야 합니다.

 

RAM 모드

Volume/Partition 모드와 비슷합니다.

 

Process 모드

프로세스별로 메모리를 수집하여 표시해 줍니다.

[Specialist] --> [Technical Details Report] 옵션에서 메모리 덤프 크기, 사용하지 않는 메모리 비율, 핵심 프로세스의 메모리 위치, 데이터 구조 등을 확인 가능합니다.

 

 

XWF에서 메모리 열기

[Tools] --> [Open RAM]

 

 

스크립팅

 

X-Tensions

사용자가 XWF 기능을 자동화된 형식으로 사용할 수 있도록 프로그램을 작성할 수 있게 합니다.

 

외부 분석 인터페이스

프로그래머가 항목 분류 등을 위해 XWF에서 데이터를 외부 프로그램으로 내보내게 할 수 있는 또 다른 기능입니다.

Case Data 창에서 [Edit] --> [Export Files for Analysis]

Directory Browser에서 Recover/Copy와 마찬가지로 이렇게 파일을 내보내면 로그에 기록이 남습니다.

일부 프로그램의 경우 프로그램에서 생성한 결과값을 XWF로 다시 불러올 수 있습니다.

[Export Files for Analysis]를 사용하면 자동으로 외부 프로그램을 시작하기 때문에 유용합니다.

물론 Directory Browser’s Viewer Programs 컨텍스트 메뉴에서 뷰어를 설정해도 되지만, 이렇게 하면 파일들이 XWF의 임시 디렉터리([General Options]--> [Folder for temporary files])로 내보내게 됩니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide