도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF의 툴바와, 탭 컨트롤, 디렉토리 브라우저의 각각의 옵션 및 필터에 대해 알아보겠습니다. 모두 화이팅 하세요. 툴바, 탭 컨트롤, Directory Browser 옵션/필터 ‘앞으로 가기’, ‘뒤로 가기’ 버튼 XWF 최고의 기능으로 생각됩니다. Tab control 과 Directory Browser caption line Directory Browser Options, Filters 일반 옵션 [Group files and directories] 옵션 체크하면, 디렉터리가 그룹화되어 Directory Browser 상단에 표시되고, 파일들은 디렉터리 아래에 그룹화되어 표시됩니다. 체크 안하면, 디렉터리와 파일이 Directory Browser에 알파벳..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 케이스 데이터 디렉토리 트리(Case Data Directory Tree)에서의 여러가지 옵션에 대해 살펴 보겠습니다. 모두 화이팅하세요.!!! Case Data Directory Tree Recursively (회귀적) 데이터 보기 '전체를 한 바퀴 돌아 제자리로 와서’ 모든 객체를 보여준다는 의미입니다. [Case Root] 에서 ‘오른쪽 클릭’ 하면 전체 또는 볼륨 단위로 ‘파일’만 열람 가능합니다. 어느 특정 디렉터리에서 ‘오른쪽 클릭’ 하면 해당 디렉터리 아래의 모든 ‘파일’을 열람 가능합니다. Evidence object 에서 ‘오른쪽 클릭’ 보기 [Properties] 보기 기타 메뉴 보기 [Export subtree] 옵션 디렉터리 목록을 ASC..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF로 RAID 시스템을 조사하는 방법과 F-Response를 이용한 이미지 제작법에 대해 알아보겠습니다. RAID 시스템 이미징하기 RAID를 구성하는 각각의 드라이브에 대한 이미지가 있거나, 실제 물리적 RAID 드라이브가 있을 경우, RAID 배열을 재구성할 수 있습니다. XWF는 RAID 0, 5, 6을 지원합니다. RAID 배열 재구성을 위해서는 컨트롤러 제조사, 스트라이프 크기, 패리티 정보 등 관련 정보를 알고 있어야 합니다. RAID의 경우 RAID를 구성하는 하드드라이브 각각을 따로따로 이미지를 만드는 것 보다는 논리적 배열 자체의 이미지를 만드는 것이 효율적입니다. 즉, 라이브 환경에서 이미지를 만들거나, F-Response를 활용하여 이미..

안녕하세요. 도깬리 포렌식스입니다. 오늘도 XWF로 생성하는 이미지에 대해 알아보겠습니다. 모두 화이팅하세요. CD/DVD [Raw CD access] 옵션 체크하면, 헥사값 형태로 보여줍니다. 체크 안하면, 파일시스템을 해석하여 보여줍니다. 메모리 이미지 생성 XWF 만으로는 메모리 전체에 대한 덤프는 불가능합니다. 단, 윈도우 XP의 경우에는 가능하였습니다. 프로세스 단위로 메모리에 대한 검사는 가능합니다. [Tools] --> [Open RAM] F-Response와 함께 사용하게 되면 원격에 있는 시스템의 메모리에 접근하여 이미징도 가능합니다. 메모리 덤프가 이미 있는 경우에는 [Case Data] --> [File] --> [Add Memory Dump] 컨테이너 파일 XWF에서의 ‘논리이미지’..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF로 생성 가능한 다양한 이미지에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! 스켈레톤 이미지(Skeleton Image) 생성 XWF 특유의 기능입니다. NTFS의 Sparse file 기술을 활용한 것입니다. 분석자가 이미지 파일에 포함하기 원하는 정확한 비트의 데이터(즉, 섹터)를 이용하여 이미지를 만드는 방식입니다. 파일시스템에 대한 기본정보(파일, 디렉터리 이름의 스냅샷, 레지스트리 하이브)만 가져오고,실제 파일과 디렉터리의 내용은 가져 오지 않습니다. 즉, 조사 현장에서 DRM 해제 등 데이터에 대한 후속처리 작업이 필요한 경우, Skeleton 이미지를 만들어 예비적 획득을 하고, 후속처리된 데이터는 추후 임의제출하도록 유도할 수 있습니다...

안녕하세요. 도깬리 포렌식스입니다. 오늘은 XWF를 이용하여 Live Imaging하는 방법과 XWF 특유의 Reverse Imaging에 대해 알아 봅시다. 모두 화이팅하세요!! 라이브 포렌식 컴퓨터의 전원을 끌 수 없는 상황에서 XWF를 사용하는 방법론에 관한 것 입니다. 예) 상업용 서버, RAID 상황 등 XWF로 라이브 포렌식 방법 XWF를 외장 하드 등에 복사한 후에 조사 대상 컴퓨터에 연결합니다. 동글을 연결합니다. - 드라이버는 설치 불요 이미지를 생성하면서 동시에 분석하기 긴급 상황에서는 이미지를 만들면서 동시에 매체에 대한 분석도 해야할 겁니다. 이미지를 생성하도록 하고, XWF 인스턴스를 하나 더 열어, 새로운 케이스를 만듭니다. 같은 매체를 새로운 케이스에 추가하여 내용을 조사합니다..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 XWF에서 증거이미지를 생성하거나 추가하는 방법에 대해 알아 보겠습니다. 모두 화이팅하세요. 증거파일 생성 및 추가 e01 이미지 매체를 비트 수준에서 복제하는 상용 파일포맷입니다. 32K 단위로 구성된 데이터의 CRC값과, 파일 전체의 해시값이 포함합니다. CRC값과 해시값을 비교하여 복사한 데이터가 중간에 변경되었는지, 데이터가 손상되었는지 알 수 있습니다. - CRC 값이 다르면 --> 데이터 손상 - 해시값이 다르면 --> 데이터 변경 dd 이미지 CRC값과 해시값이 포함되어 있지 않습니다. DD 이미지의 해시값은 별도 계산해야 합니다. 기타 지원하는 이미지 포맷 ISO CD 이미지 VMware의 VMDK 이미지 Virtual PC의 VHD 이미지 개별 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서 새로운 케이스를 생성할 때 고려해야 하는 옵션을 살펴 보겠습니다. 모두 화이팅하세요! 소개 XWF는 이미지를 만들 때, 데이터의 압축 여부를 확인하여, 이미 압축되어 있다면 데이터를 굳이 한번 더 압축하지 아니하므로 이미지 생성 속도가 다른 도구에 비하여 빠른 편입니다. 매체에서 데이터의 일부만 가져와서 컨테이너 파일을 만들어 획득하는 것도 가능합니다. 케이스 파일 생성하기 새로운 케이스 생성하기 [Description] 옵션 일반적인 케이스 정보를 기록합니다. [Examiner] 옵션 로그기록 섹션 XWF가 자동으로 로그를 남길지 말지를 결정하는 섹션입니다. [Log Recover/Copy command] 옵션 체크하면 증거 객체에서 데이터를 복사..

안녕하세요. 도깬리 포렌식스 입니다. 금일부터는 새로운 시리즈 X-ways Forensics (XWF) 프로그램을 이용한 디지털 포렌식 분석법에 대해 알아봅니다. XWF는 디지털 포렌식 분야에서 널리 사랑받는 도구 중에 하나입니다. 분석관이 상상하는 거의 모든 분석기법을 XWF 하나만으로도 구현할 수 있을 정도로 좋은 도구입니다. XWF를 통해 여러분의 실력도 향상시키길 바랍니다. 자, 시작할까요? XWF 설치 압축파일 다운로드합니다. 설치파일을 실행합니다. Add-on 프로그램과 Viewer component를 설치합니다. MPlayer http://www.mplayerhq.hu/ 무료 오픈 소스 미디어 플레이어입니다. 비디오 파일에서 JPEG 추출할 수 있습니다. WinHex XWF와는 달리 헥스값을..