[XWF] 보고서 작성 기능 (2)

안녕하세요. 도깬리 포렌식스 입니다.

X-ways 시리즈는 오늘 까지 입니다. 모두 수고하셨습니다.^^

 

보고서 생성

XWF 보고서는 3개의 섹션(메인, RT, 케이스 활동 로그)으로 구성되어 있습니다.

 

메인 보고서(기본 보고서)

- 케이스 생성일

- 케이스 파일 경로

- 분석가 정보

- 이미지 파일 경로

- 케이스에 아이템이 추가된 날짜

- 아이템의 해시값

- 섹터 수

- 전체 용량

- 이미지 해시 검증 등

 

RT 섹션

- 파일의 메타데이터

- 썸네일

- 이메일

- 바로가기(.lnk) 등 RT와 관련 있는 파일 정보

 

보고서 생성 방법

[Case data]에서 [File] --> [Create Report] 선택

기본적으로 케이스에 있는 모든 증거개체에 대한 데이터가 선택된 분석보고서 섹션에 포함되게 합니다.

[In selected evidence objects] 옵션을 선택하여 일부 증거개체에 대한 데이터만 보고서에 포함할 수도 있습니다.

 

메인 보고서 옵션

[Create main report] 옵션

케이스와 증거개체에 대한 정보가 포함된 보고서를 생섷합니다.

 

[Optional logo] 옵션

보고서에 기관로고와 같은 이미지를 삽입할 수 있습니다.

 

[Optional report header] 옵션

보고명을 삽입합니다.

기관로고 아래에 위치합니다.

 

[Optional preface] 옵션

보고내용을 삽입합니다.

 

[Output activity log] 옵션

증거개체에 작업했던 모든 내용을 로그로 남깁니다.

타임스탬프와 화면 캡쳐를 포함할 것인지 여부를 결정합니다.

보고서가 저장되는 경로를 바꾸고, 로그를 보고서에 포함시키려고 하면, 수동으로 케이스 디렉터리에 있는 _log 디렉터리를 보고서를 저장할려는 새로운 디렉터리로 복사를 해두어야 합니다.

 

[Include report tables] 옵션

체크하면, 선택된 모든 RT를 보고서에 포함합니다.

반만 체크하면, 선택된 RT에 있는 아이템의 총 수만 보고서에 포함합니다.

체크안하면, RT를 보고서에 포함시키지 않습니다.

 

[Sort files by evidence object and Int. ID] 옵션

먼저 증거개체를 정렬한 후, Directory Browser에 있는 Int. ID 컬럼으로 정렬합니다.

 

[Order as they are currently listed in the case root] 옵션

Directory Tree에서 Case Root 폴더를 선택하고, 회귀적으로 증거개체를 표시하게 하면 이 옵션을 사용할 수 있게 됩니다.

일단, 목록이 생성되면 Directory Browser에서 최대 3개의 다른 컬럼으로 정렬할 수 있습니다.

 

[files per line] 옵션

RT에 얼마나 많은 컬럼을 포함시킬지 결정합니다.

‘4’가 적당합니다.

 

[Page break after x table rows for printing] 옵션

HTML 코드에 페이지 브레이크가 삽입됩니다.

보고서를 출력할 때, RT 줄이 반으로 잘리는 것을 방지 할 수 있습니다.

 

[Make copy of files for inclusion in report] 옵션

체크하면, 선택된 RT에 있는 모든 파일을 보고서에 포함시킵니다.

반만 체크하면, 선택된 RT에 있는 사진만 보고서에 포함시킵니다.

체크안하면, 보고서에 아무런 파일도 포함시키지 않습니다.

 

[Maximum filename length] 옵션

XWF가 파일을 보고서에 포함시킬려고 할 때 파일 이름의 최대 길이를 설정할 수 있습니다.

 

[Apply to tagged files only] 옵션

현재 태그되어 있는 파일만 보고서에 포함시킵니다.

예) 포르노사진 100개를 케이스에 추가하였으나, 그 중에 5개의 사진만 보고서에 포함시키고 싶을 때 유용합니다.

 

[Alternative .eml presentation directly in browser] 옵션

체크하면, 이메일을 HTML 형식으로 변환하여 보고서에 포함시킵니다. 이때 이메일 첨부파일은 목록으로 표시되는데 메인 보고서에는 링크가 생깁니다.

반만 체크하면, 일반 텍스트 이메일 파일의 확장자를 .txt로 바꾸고, HTML 형식의 이메일의 확장자는 .html로 변환하여 브라우저에서 직접 볼 수 있도록 합니다.

체크안하면, 이메일을 일반적인 파일로 취급하여 보고서에서 해당 링크를 클릭하면 텍스트 편집기나 이메일 클라이언트와 같은 외부프로그램에서 .eml 파일을 열 수 있게 합니다.

 

[Embed attachments in parent .eml file] 옵션

이메일 첨부파일을 전부 Base 64로 인코딩하여 인코딩된 첨부파일을 이메일 파일 안에 임베드시킵니다.

 

[Embed pictures in HTML as inline code] 옵션

실제 물리적 파일을 내보내어 링크를 거는 대신, 사진 파일을 Base 64로 인코딩하여 인코딩된 데이터를 직접 HTML에 포함시킵니다.

이 옵션을 선택하면 HTML 파일의 크기가 너무 커지기 때문에 비추천입니다.

 

[Max. dimension of pictures] 옵션

보고서에 있는 썸네일 사진의 최대 크기를 결정합니다.

 

[Max. number of pictures per HTML file] 옵션

보고서 파일에 얼마나 많은 사진을 포함시킬지 결정합니다.

 

[Fields to output] 옵션

Directory Browser에 있는 컬럼 중 어떤 것을 보고서에 포함시킬지 결정합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : X-ways Forensics Practitioner's Guide