도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 정규표현식에 대해 알아 봅니다. 모두 화이팅 하세요!!! 정규표현 패턴화된 문자열(예: 이메일, URL, 전화번호, IP주소 등), 헥스(hex)를 쉽고 유연하게 검색하는 기술입니다. 정규표현 엔진은 다양하고, 정규표현을 잘 사용하면 전문가처럼 보일 수도 있겠지만, 포렌식 전문가들은 정규표현 외에도 공부해야 할 것이 너무 많으므로, 정규표현에 너무 집착하면 시간 낭비일 수도 있습니다. 그러나 시험 출제하기에는 정규표현식 만큼 좋은 것도 없으므로 자격시험을 준비중인 취준생들에게는 반드시 학습해야 할 파트이기도 합니다.ㅠ XWF의 정규표현식 기호 의미 . 1개의 문자와 일치 # 1개의 숫자와 일치 [] 특정값의 그룹을 정의, 예) [a-z0-9] : ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 XWF의 검색기능에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! [Cover file slack/free space transition] 옵션 [Open and search files incl. slack] 옵션이 체크 또는 반만 체크되어 있을 경우에만 활성화됩니다. 체크하면, 파일 슬랙을 검색할 때 주변에 있는 빈 공간도 함께 검색합니다. [Decode text in files] 옵션 체크하면, 뷰어 컴포넌트를 사용하여 파일의 내용을 디코딩합니다. 파일에서 가져온 디코딩된 텍스트를 보기 위해서는 Directory Browser에서(Search Hit List가 아님) 파일을 선택한 다음 Preview 모드로 전환해야 합니다. 지원되는 포맷은 다음과 같습니..

안녕하세요. 도깬리 포렌식스 입니다. 애독자님들 새해 복 많이 받으세요. 오늘은 XWF의 검색 기능에 대해 알아 봅니다. 모두 화이팅하세요!!! XWF의 검색 기능 XWF는 단순 문자열 검색(키워드 검색), 정규 표현식 검색(Grep 검색), 혼합 검색을 지원합니다. XWF는 단순 물리적 검색, 슬랙공간 검색 등을 지원합니다. XWF는 디스크에 저장된 상태 그대로의 파일 내용 검색, 복잡한 파일을 디코딩하여 그 내용까지 검색(EnCase의 Transcript 탭, FTK의 Filtered 탭) 가능합니다. 동시검색 (Simultaneous Search, SS) 단순 문자열 검색과 정규 표현식 검색을 ‘동시에’ 할 수 있다는 의미입니다. 키워드 검색, GREP 기반 검색, 전체단어 검색, 인코딩된 파일의 ..

안녕하세요. 도깬리 포렌식스 입니다. 2022년 마지막 날 입니다. 올 한해도 정말 수고 많으셨습니다. 도깬리도 쉬지 않고 달려 왔네요. 애독자 님들의 성원에 감사드립니다. 오늘은 XWF로 레지스트리를 분석하는 방법을 설명합니다. 모두 화이팅하세요. X-Ways Forensics 레지스트리 분석하기 레지스트리 윈도우에서 ‘하이브’라고 불리는 파일에 각종 설정과 옵션값을 저장하고 있는 일종의 데이터베이스입니다. 레지스트리 분석을 위해서는 우선 필터를 사용하여 레지스트리 하이브만을 모아야 합니다. Type 컬럼 또는 Category 컬럼을 이용하여 레지스트리만을 필터링 합니다. XWF Registry Viewer 레지스트리 하이브를 더블 클릭하면 자동으로 Registry Viewer가 실행됩니다. 최대 64..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF의 해시 데이터베이스(Hash DB)를 이용한 해시 분석(Hash Analysis)에 대해 알아 보겠습니다. 모두 화이팅하세요!!! 해시분석 개요 사건과 관련된 파일을 가장 빨리 찾는 방법은 이미 존재하는 해시셋(해시DB)으로 분석대상 파일의 해시값과 비교해 보는 것입니다. 예) 아동포르노 파일의 해시값으로 분석대상 하드드라이브에 존재하는 파일의 해시값과 비교하여 조사 중복된 파일을 숨기고 필터링하여 관련 없는 파일을 제거하면 분석해야 하는 데이터의 양을 현저히 줄일 수 있습니다. XWF 내부 해시 데이터베이스와 해시셋 해시 데이터베이스의 저장 위치는 다음과 같이 설정합니다. [General Options] --> [Folder for internal h..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 RVS (Refine Volume Snapshop) 마지막 시간 입니다. 모두 화이팅 하세요.!!! [Extract e-mail messages and attachments from] 옵션 다양한 이메일 아카이브 파일에서 이메일 메시지와 첨부 파일을 추출하게 합니다. 지원 가능한 이메일 박스는 다음과 같습니다. - *.pst;*.ost;*.edb;*.dbx;*.pfc;*.mbox;*.eml;*.emlx;*.mht;*.olk14MsgSource;*.msg;*.oft;*.mbs;store.fdb - Outlook Personal Storage (.pst) - Office Storage (.ost) - Exchange (.edb) - Outlook Message (..

안녕하세요. 도깬리 포렌식스 입니다. Merry! Christmas... 오늘도 XWF의 RVS (Refine Volume Snapshot)에 대해 알아 봅니다. 모두 화이팅하세요!!! [Verify file types with signatures and algorithms] 옵션 확장자 변조 여부 분석기입니다. 실제 파일의 종류와 파일의 확장자의 일치 여부를 분석하여 그 결과를 보여 줍니다. 분석결과는 Type status 컬럼에서 확인 가능합니다. - EnCase : 테이블의 Signature Analysis 컬럼에 Alias로 표시된 것을 정렬하는 방법으로 분석합니다. - FTK : EP --> Flag Bad Extensions 를 실행하여 분석합니다. [Extract internal metada..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 XWF의 RVS (Refine Volume Snapshot) 기능에 대해 알아 봅니다. 특히 오늘은 파일 카빙(File Carving) 파트가 포함됩니다. 모두 화이팅 하세요!!! [File header signature search] 옵션 ‘파일카빙(File carving)’입니다. 파일 헤더의 시그너처 정보를 기반으로 파일을 찾아줍니다. [Default file size] 옵션 푸터(footer)가 없거나, 푸터가 정의되어 있지만 찾을 수 없는 경우에 파일의 크기를 정해서 잘라내야 합니다. [Max file size] 옵션 파일을 잘라 낼 때, 파일 크기를 정할 수 있습니다. 사전에 그 크기를 추정할 수 있다면, 좀 더 정확한 크기를 입력하는 것이 좋습니다..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터 XWF의 가장 중요한 기능인 RVS (Refine Volume Snapshot)에 대해 알아 보겠습니다. 다만 RVS 인터페이스는 최신 버전(20 버전대)과 조금 다르므로 참고하시기 바랍니다. 그럼 이제 시작해볼까요. RVS 시작하기 전체 인터페이스 모습 [Take new one] 옵션 새로운 VS가 강제로 생성됩니다. 만약 RVS를 새로 하게 되면, 기존에 수집하고 처리하였던 모든 데이터, 주석, 보고서 테이블과 관련된 모든 정보가 삭제됩니다. 즉, VS를 초기화 시키는 결과가 발생합니다. Already done? 표시 체크가 되어 있다면, 이전의 RVS에서 이미 완전하게 적용(모든 파일에 대해 적용)하였던 옵션임을 의미 합니다. 반만 체크 되어 있다면, ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 Volume Snapshot의 기능과 옵션에 대해 알아보겠습니다. 모두 화이팅하세요!!! Volume Snapshot (VS) XWF에서 자체적으로 생성하는 일종의 데이터베이스입니다. 증거 개체에 있는 데이터와 관련된 정보를 저장해 둡니다. 증거 개체마다 VS가 생성되며, XWF 인터페이스에서는 VS에 있는 데이터를 가져와서 그 정보를 Directory Tree, Directory Browser에 보여 주게 됩니다. XWF로 케이스에 있는 파일이나 다른 개체들에 대하여 분석작업(예: 파일을 읽음으로 표시하기, 파일 태그하기, 파일 숨기기 등)을 하게 되면, 그 결과값들은 VS에 저장하게 됩니다. VS는 RVS 작업의 시작점입니다. 케이스 안의 증거..