[XWF] 보고서 작성 기능 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 보고서 작성하기 기능에 대해 알아 보겠습니다. 보고서를 잘 작성하기 위해서는 Report Table과 Comment를 잘 관리하여야 합니다. 이제 시작해볼까요?

 

Report table, RT

EnCase, FTK의 Bookmark와 유사합니다.

최대 256개의 RT를 만들 수 있습니다.

케이스에서 선택된 RT를 HTML 형식의 보고서로 생성할 수 있습니다.

 

Report table에 아이템 추가하기

선택된 아이템에서 컨텍스트 메뉴 --> [Report table associations]

 

RT 지정 옵션

프로그램 생성 RT

XWF 프로그램에서 자동으로 생성됩니다.

들여쓰기 되어 있으며, 색상은 회색으로 되어 있습니다.

 

사용자 생성 RT

사용자가 임의로 생성할 수 있습니다.

좌측 정렬되어 있으며, 색상은 검은색 입니다.

 

for 옵션

선택된 RT에 어떤 것이 추가될 수 있는지 확인해 봅니다.

 

[selected item] 옵션

Directory Browser에서 선택된 아이템만 선택된 RT에 추가합니다.

 

[parent file] 옵션

Directory Browser에서 선택된 아이템의 부모파일을 선택된 RT에 추가합니다.

하나 이상의 자식 개체가 있는 아이템을 볼 때 유용합니다.

 

[direct child object(s)] 옵션

Directory Browser에서 선택된 아이템의 직속 자식 개체를 선택된 RT에 추가합니다.

 

[child objects recursively] 옵션

Directory Browser에서 선택된 아이템의 모든 자식 개체를 선택된 RT에 추가합니다.

 

[any known duplicates] 옵션

Directory Browser에서 선택된 파일과 동일한 해시값을 갖고 있는 모든 아이템을 선택된 RT에 추가합니다.

 

[existing association] 옵션

[keep]

Directory browser에서 선택된 아이템을 선택된 RT에 추가합니다.

 

[replace]

기존의 RT가 선택된 RT로 대체됩니다.

 

[Create] 옵션

Directory Browser에서 선택된 아이템을 선택된 RT에 지정합니다.

 

[Unselect all] 옵션

선택된 모든 RT의 선택을 해제합니다.

 

 

새로운 RT 생성하기

[New] 버튼

단축기를 사용할 수 있습니다. 

Ctrl  + 숫자키 사용

숫자패드가 있는 경우, 숫자패드에 있는 숫자를 누르기만 하면 됩니다.

 

RT 지정 해지

RT를 하나 선택하고, Ctrl +0 또는 키패트에서 0 누릅니다.

 

Directory Browser에서 Report table을 추가할 수 있습니다.

 

[+siblings] 옵션

선택된 RT에 있는 아이템과 동일한 디렉터리에 있는 아이템을 Directory Browser에 표시합니다.

 

RT 공유하기

RT 데이터를 가져오거나 내보낼 수 있습니다.

케이스 명에서 컨텍스트 메뉴 --> [Export report table associations] 또는 [Import report table associations]

.rtd 파일

 

주석

Directory Browser에서 컨텍스트 메뉴 --> [Edit Comment]

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide