도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. X-ways 시리즈는 오늘 까지 입니다. 모두 수고하셨습니다.^^ 보고서 생성 XWF 보고서는 3개의 섹션(메인, RT, 케이스 활동 로그)으로 구성되어 있습니다. 메인 보고서(기본 보고서) - 케이스 생성일 - 케이스 파일 경로 - 분석가 정보 - 이미지 파일 경로 - 케이스에 아이템이 추가된 날짜 - 아이템의 해시값 - 섹터 수 - 전체 용량 - 이미지 해시 검증 등 RT 섹션 - 파일의 메타데이터 - 썸네일 - 이메일 - 바로가기(.lnk) 등 RT와 관련 있는 파일 정보 보고서 생성 방법 [Case data]에서 [File] --> [Create Report] 선택 기본적으로 케이스에 있는 모든 증거개체에 대한 데이터가 선택된 분석보고서 섹션에 포함되게 합니다..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 보고서 작성하기 기능에 대해 알아 보겠습니다. 보고서를 잘 작성하기 위해서는 Report Table과 Comment를 잘 관리하여야 합니다. 이제 시작해볼까요? Report table, RT EnCase, FTK의 Bookmark와 유사합니다. 최대 256개의 RT를 만들 수 있습니다. 케이스에서 선택된 RT를 HTML 형식의 보고서로 생성할 수 있습니다. Report table에 아이템 추가하기 선택된 아이템에서 컨텍스트 메뉴 --> [Report table associations] RT 지정 옵션 프로그램 생성 RT XWF 프로그램에서 자동으로 생성됩니다. 들여쓰기 되어 있으며, 색상은 회색으로 되어 있습니다. 사용자 생성 RT 사용자가 임의로 생성할 수 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 X-ways를 이용한 메모리 분석과 기타 기능에 대해 알아 봅니다. 모두 화이팅 하세요!!! RAM 분석 32비트 윈도우의 경우 최대 4GB 까지의 메모리 덤프를 지원합니다. 일부 64비트 윈도우도 제한적으로 지원 가능합니다. 32비트 윈도우 2000이나 XP의 경우 메모리의 이미지를 생성할 수 있습니다. 다른 윈도우 버전의 경우에는 Moonsols DumpIt, winpmem 등을 사용할 것을 권고합니다. 다른 운영체제의 경우, F-Response와 함께 XWF를 사용하면 메모리 이미지 생성을 할 수 있습니다. RVS를 통해 찾은 hiberfil.sys 파일의 압축을 해제하여 자동으로 메모리 덤프로 케이스에 추가할 수 있습니다. 메모리에서 XWF가 복원할 수..

안녕하세요. 도깬리 포렌식스 입니다. 설 명절 잘 보내고 계시지요? 다시 X-ways 시리즈를 이어 가겠습니다. 오늘은 타임라인과 이벤트, Free Space, Slack Space에 대해 알아 보겠습니다. 모두 화이팅 하세요. 타임라인과 이벤트 분석 파일시스템의 MAC Time과 파일 헤더의 Timestamp를 혼합하여 포괄적인 타임라인을 생성할 수 있습니다. 달력 모드 (Calendar 모드) 이벤트 뷰(Events View) RVS를 해야만 이벤트 뷰 버튼이 나타납니다. 즉, 이벤트 목록을 보기 위해서는 반드시 RVS를 실행해야만 합니다. 특히 RVS에서 [Event internal metadata, browser history, and events] 옵션을 반드시 실행해야 합니다. 이것은 내부 타..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 지난 회에 이어서 헥스 창에서의 다양 분석기능에 대해 알아봅니다. 모두 화이팅 하세요!!! 섹터 중첩 (일명 ‘섹터 바꿔치기’) 디스크의 특정 섹터가 손상되더라도 XWF는 해당 파일시스템을 분석하여 자동으로 디스크에 있는 데이터를 화면에 보여주지만, 그렇치 아니한 경우가 있을 수도 있습니다. 이러한 경우 ‘섹터 중첩’ 기능을 이용하면 복원이 가능합니다. 증거 이미지에 있는 데이터를 그대로 두고, 그 위에 정상적인 데이터를 중첩시켜서 보여 줍니다. 이를 위해서는 미리 손상된 섹터를 외부로 추출하여 정상적인 섹터로 수정하여 준비해두어야 합니다. Volume/Partition 모드에서 해당 섹터를 블록 지정한 후, [Edit] --> [Superimpose sect..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서 Data Interpreter를 사용하는 방법과 헥스 창에서의 다양한 분석기능을 살펴 보겠습니다. 모두 화이팅 하세요!!! 헥스 창에서 작업하기 Volume/Partition, File 모드에서 바이너리 데이터 블록을 읽기 편한 형식으로 변환하기 위하여 [Data Interpreter] 를 사용합니다. 어떤 데이터 블록이 선택되었는지 여부와는 상관 없이 현재 커서가 위치하고 있는 데이터를 자동으로 변환시켜 줍니다. 데이터 블록으로 인식하지 않고, 예를 들면 단순히 타임스탬프의 첫 번째 바이트 문자를 클릭하기만 하면 자동으로 변환됩니다. [Data Interpreter] 보기 [View] --> [Show] --> [Data Interpreter] [..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 환경설정에 관한 파일에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! XWF 환경설정 파일 설정하기 UltraEdit, Edit Pad Pro 와 같은 편집기로 XWF 환경설정 파일을 다루는 것이 좋습니다. XWF 디렉터리 기반의 환경설정 파일 XWF는 현장에서 다루기 위해, 시스템에 설치 하지 않아도 사용할 수 있습니다. ‘디렉터리 기반’의 의미 XWF 실행파일과 환경설정 파일이 동일한 디렉터리에 존재함을 의미합니다. 사용자 프로파일 기반의 환경설정 파일 강제로 환경설정 파일을 사용자 프로파일에 있는 폴더에 저장하기 위해서는 XWF 디렉터리에 winhex.user 라는 파일을 만들어 주기만 하면 됩니다.(파일내용 없어도 됨) 사용자 프로파일 모..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 인덱스 검색을 마무리 짓고, 텍스트 검색과 Hex 검색에 대해서도 알아 보겠습니다. 모두 화이팅하세요!!! 동시 검색 결과와 인덱스 검색 결과 Search Hit List 창에서 좌측 하단의 search hits를 더블 클릭합니다. 검색 결과 목록 옵션 [Delete] 옵션 검색결과를 목록에서 삭제합니다. [Force] 옵션 ‘+’ 연산자 해당 검색어가 파일에 포함되어 있는 것만 검색결과에서 보여줍니다. [Exclude] ‘-’ 연산자 해당 검색어가 파일에 포함되어 있으면 검색결과에서 제외됩니다. [Normal OR Combination] 초기화로 되돌립니다. ‘+’, ‘-’ 연산자가 아닌 다른 것을 이용하는 방법 Enter 버튼 왼쪽의 Min. ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 인덱스 검색 두번째 시간 입니다. 모두 화이팅하세요!!! 인덱스의 중복 생성 인덱스를 생성한 후 다시 인덱스를 생성하려고 하면, 기존의 인덱스를 덮어쓸 것인지 물어옵니다. - Yes : 기존의 인덱스를 덮어씁니다. - No : 새로운 인덱스를 생성한 후 기존의 인덱스와 합치게 됩니다. 인덱스 검색 ‘동시 검색’ 창에서 인덱스 검색을 합니다. [Search] --> [Simultaneous Search] --> [Search in Index] 인덱스 검색 취소 검색 도중 ESC를 누릅니다 [Export Word List] 옵션 인덱스에서 찾은 단어들을 중복없이 텍스트 파일로 만들어 줍니다. 검색결과 보기 [Search Hit List] 괄호 안에 있..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 인덱스 검색에 대해 알아 보겠습니다. 모두 화이팅하세요!!! 인덱스 검색 개요 인덱스 검색 vs 키워드 검색 인덱스를 만들게 되면 검색시간을 줄일 수 있는 장점이 있습니다. 그러나, 모든 케이스에 인덱스를 만들 필요는 없습니다. 사용자가 직접 검색을 시작하기 전에, 모든 단어에 대한 검색결과를 미리 찾아서, 이를 DB에 저장을 하게 됩니다. 검색 키워드가 불명확하거나 많고, 장기간의 조사가 불가피한 경우, 리뷰어(reviewer)가 여러 명으로 협업을 하고 있는 경우, 인덱스 검색을 하는 것이 좋습니다. 만약, 키워드가 명확하거나 적고, 시급히 단독으로 분석을 계속 해야 하는 경우에는 키워드 검색이 바람직합니다. 인덱스 생성 25개 이상의 사전에 ..