도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 Volume Snapshot의 기능과 옵션에 대해 알아보겠습니다. 모두 화이팅하세요!!! Volume Snapshot (VS) XWF에서 자체적으로 생성하는 일종의 데이터베이스입니다. 증거 개체에 있는 데이터와 관련된 정보를 저장해 둡니다. 증거 개체마다 VS가 생성되며, XWF 인터페이스에서는 VS에 있는 데이터를 가져와서 그 정보를 Directory Tree, Directory Browser에 보여 주게 됩니다. XWF로 케이스에 있는 파일이나 다른 개체들에 대하여 분석작업(예: 파일을 읽음으로 표시하기, 파일 태그하기, 파일 숨기기 등)을 하게 되면, 그 결과값들은 VS에 저장하게 됩니다. VS는 RVS 작업의 시작점입니다. 케이스 안의 증거..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 Viewer Programs 옵션과 Security Options에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Viewer Programs 옵션 [View multiple pictures simultaneously] 옵션 체크하면, 창에서 하나 이상의 사진/그림 파일을 볼 수 있게 합니다. 체크안하면, 한번에 하나의 사진/그림 파일을 볼 수 있게 합니다. [Alternative preview of .eml] 옵션 체크하면, 이메일 헤더를 표로 정리하여 Preview에서 보기 쉽게 합니다. 반만 체크하면, 이메일 헤더를 제외하고 나머지를 볼 수 있게 합니다. 체크안하면, 아무런 형식 없이 .eml에 있는 그대로 보여 줍니다. [Crash-saf..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 메인 메뉴와 General Options 에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Main menu (메인 메뉴) 메인 메뉴의 옵션들은 현재 tab control에 선택되어 있는 모든 증거 객체에 영향을 미칩니다. General Options [Show Start Center-up] 옵션 체크하면, XWF를 열 때 Start Center 창이 표시되고, 최근에 열어본 개체와 Case로 바로 접근할 수 있도록 합니다. 반만 체크하면, 옵션 이름이 [Restore last window arrangement]로 바뀝니다. XWF가 창의 위치를 저장해 두었다가, 다음에 XWF를 시작하게 되면 해당 위치에서 창이 열리도록 합니다. 체크안하면, X..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF의 Status Bar와 Data interpreter에 대해 알아 보겠습니다. 모두 화이팅 하세요!! Status Bar Volume/Partition 모드에서 사용할 경우 Sector 논리적 섹터 번호 / 볼륨의 총 섹터수를 표시합니다. Offset 볼륨의 오프셋 시작점(16진수/10진수)을 표시합니다. Selected value 선택된 바이트값(블록처리한 바이트)값을 10진수로 표시합니다. Block 블록처리한 데이터의 시작점과 끝나는 점을 표시합니다. Size 선택된 바이트의 수를 16진수 또는 10진수로 표시합니다. File 모드의 경우, 한 개만 Volume/Partition 모드와 상이합니다. Page 파일에서 보이는 현재 데이터의 페이지와 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 여러가지 Mode 버튼관 Details 팬에 대하여 알아 봅시다. 모두 화이팅하세요!!! Mode 버튼과 Details pane Legend 모드 XWF에서의 아이콘에 대한 설명을 포함합니다. Volume/Partition 모드 Volume 파티션 이미지를 케이스에 추가하는 경우 표시됩니다. Partition 하드드라이브 전체 이미지를 케이스에 추가하는 경우 표시됩니다. Disk 모드 Directory Browser에 파티션, 파티션이 불가능한 공간 등이 표시됩니다. File 모드 선택된 하나의 파일의 내용을 Hex 뷰에서 보여줍니다. 슬랙 공간을 초록색으로 구별하기 위해서는 [Specialist] --> [Highlight slack space]..

안녕하세요. 도깬리 포렌식스 입니다. 대한민국 월드컵 축구 대표팀 ! 투혼에 감사드립니다. 오늘은 디렉토리 브라우저 컨텍스트 메뉴 마지막 시간 입니다. 모두 화이팅 하세요!!! [Refine Volume Snapshot] 옵션 선택된 파일에 한하여 RVS 작업을 수행합니다. [Simultaneous search] 옵션 선택된 개체의 내용에 대한 키워드 검색을 수행합니다. [Run X-Tensions] 옵션 선택한 개체에 X-Tension API를 사용하는 프로그램을 하나 이상 실행할 수 있게 해줍니다. [Create Hash Set] 옵션 선택한 개체를 기반으로 하여, 새로운 해시셋을 만들 수 있도록 합니다. 이렇게 해시셋이 만들어 지면, 기존의 해시셋과 통합할 수도 있습니다. [Tools] --> [H..

WDF 애독자 디지털 포렌식 챌린지 1. 참가 자격 : "윈도우 디지털 포렌식 완벽 활용서" 독자 또는 도깬리포렌식스 구독자 - 분석보고서 제출시 구매 영수증 또는 도깬리 포렌식스 구독자 증명 스크린 캡처를 첨부하시기 바랍니다. 2. 참가 방법 : 시험 시나리오(하단 참조)를 읽고, 예제 이미지 파일에 대하여 디지털 포렌식 증거분석을 수행, 분석보고서를 작성하여 이메일로 제출 3. 예제 이미지 : “윈도우 디지털 포렌식 완벽 활용서” 제2부 제8장 9번 가상머신 이미지 4. 보고서 제출방법 : 보고서는 PDF 파일 형식으로 변환하여 이메일(수신처: wdfcmanager@gmail.com) 송부 - 보고서 제출시 "윈도우 디지털 포렌식 완벽 활용서" 구매 영수증 또는 도깬리포렌식스(https://gobli..

안녕하세요. 도깬리 포렌식스 입니다. "오! 필승 코리아...." 대한민국이 월드컵 16강에 진출했네요. 이 도깬리도 격하게 축하드립니다. 오늘도 디렉토리 브라우저의 컨텍스트 메뉴에 대해 알아 보겠습니다. 모두 화이팅 하세요. [Select] 옵션 Directory Browser에 있는 개체들의 여러 항목을 빠르게 자동 선택하게 합니다. [Exclude], (구 [Hide]) 옵션 Directory Browser 에서 여러 개체를 숨기는 데 사용합니다. [Identify duplicates in dir. Browser based on hash] 옵션 선택된 파일 중에서 복사본/중복본을 숨길 수 있습니다. [Navigation] 옵션 [List Clusters] 옵션 선택된 파일이 차지하고 있던 모든 클러..

안녕하세요. 도깬리 포렌식스 입니다. 벌써 마지막 달이 되었네요. 여러 분들 모두 한 해를 잘 마무리하였으면 좋겠습니다. 오늘도 디레토리 브라우저의 컨텍스트 메뉴에 대해 알아 보겠습니다. 모두 화이팅 하세요. [Recover/Copy] 옵션 선택된 개체를 사용자가 지정하는 디렉터리로 복사하는 기능입니다. [Recreate original path] 옵션 체크하면, 개체의 전체경로(루트부터의 원래 경로)가 그대로 복사됩니다. 반만 체크하면, 현재 디렉토리부터의 경로만 복사됩니다. 체크안하면, 파일만 복사됩니다. 만약 동일한 파일 또는 디렉터리가 선택될 경우에는 파일 뒤에 숫자를 추가하여 덮어써지지 않게 합니다. 체크 또는 반만 체크한 경우, [Cancel]과 [Help] 사이에 … 버튼이 생성되고, 이 버..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 디렉토리 브라우저 컨텍스트 메뉴(Directory Browser Context Menu)에 대해 알아 보겠습니다. 모두 화이팅 하세요.!! Directory Browser 컨텍스트 메뉴 컨텍스트 메뉴는 Directory Browser 에서 태그되어 있는 개체가 아닌 ‘선택된’ 개체에 대해서만 적용됩니다. 대상 개체가 파일이냐 디렉터리이냐에 따라 컨텍스트 메뉴의 내용은 약간 달라집니다. 또한, XWF 컨테이너 파일(논리이미지)이나 스켈레톤 이미지(목록이미지)가 열려 있다면, 컨텍스트 메뉴에 ‘Add to’ 옵션(예: Add to TestContainer.ctr…)이 추가 될 것이며, 마찬가지로 대상 개체에 메타데이터가 있다면 ‘Edit metadata’ 옵션도 ..