도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 설 명절 잘 보내고 계시지요? 다시 X-ways 시리즈를 이어 가겠습니다. 오늘은 타임라인과 이벤트, Free Space, Slack Space에 대해 알아 보겠습니다. 모두 화이팅 하세요. 타임라인과 이벤트 분석 파일시스템의 MAC Time과 파일 헤더의 Timestamp를 혼합하여 포괄적인 타임라인을 생성할 수 있습니다. 달력 모드 (Calendar 모드) 이벤트 뷰(Events View) RVS를 해야만 이벤트 뷰 버튼이 나타납니다. 즉, 이벤트 목록을 보기 위해서는 반드시 RVS를 실행해야만 합니다. 특히 RVS에서 [Event internal metadata, browser history, and events] 옵션을 반드시 실행해야 합니다. 이것은 내부 타..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 지난 회에 이어서 헥스 창에서의 다양 분석기능에 대해 알아봅니다. 모두 화이팅 하세요!!! 섹터 중첩 (일명 ‘섹터 바꿔치기’) 디스크의 특정 섹터가 손상되더라도 XWF는 해당 파일시스템을 분석하여 자동으로 디스크에 있는 데이터를 화면에 보여주지만, 그렇치 아니한 경우가 있을 수도 있습니다. 이러한 경우 ‘섹터 중첩’ 기능을 이용하면 복원이 가능합니다. 증거 이미지에 있는 데이터를 그대로 두고, 그 위에 정상적인 데이터를 중첩시켜서 보여 줍니다. 이를 위해서는 미리 손상된 섹터를 외부로 추출하여 정상적인 섹터로 수정하여 준비해두어야 합니다. Volume/Partition 모드에서 해당 섹터를 블록 지정한 후, [Edit] --> [Superimpose sect..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서 Data Interpreter를 사용하는 방법과 헥스 창에서의 다양한 분석기능을 살펴 보겠습니다. 모두 화이팅 하세요!!! 헥스 창에서 작업하기 Volume/Partition, File 모드에서 바이너리 데이터 블록을 읽기 편한 형식으로 변환하기 위하여 [Data Interpreter] 를 사용합니다. 어떤 데이터 블록이 선택되었는지 여부와는 상관 없이 현재 커서가 위치하고 있는 데이터를 자동으로 변환시켜 줍니다. 데이터 블록으로 인식하지 않고, 예를 들면 단순히 타임스탬프의 첫 번째 바이트 문자를 클릭하기만 하면 자동으로 변환됩니다. [Data Interpreter] 보기 [View] --> [Show] --> [Data Interpreter] [..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 환경설정에 관한 파일에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! XWF 환경설정 파일 설정하기 UltraEdit, Edit Pad Pro 와 같은 편집기로 XWF 환경설정 파일을 다루는 것이 좋습니다. XWF 디렉터리 기반의 환경설정 파일 XWF는 현장에서 다루기 위해, 시스템에 설치 하지 않아도 사용할 수 있습니다. ‘디렉터리 기반’의 의미 XWF 실행파일과 환경설정 파일이 동일한 디렉터리에 존재함을 의미합니다. 사용자 프로파일 기반의 환경설정 파일 강제로 환경설정 파일을 사용자 프로파일에 있는 폴더에 저장하기 위해서는 XWF 디렉터리에 winhex.user 라는 파일을 만들어 주기만 하면 됩니다.(파일내용 없어도 됨) 사용자 프로파일 모..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 인덱스 검색을 마무리 짓고, 텍스트 검색과 Hex 검색에 대해서도 알아 보겠습니다. 모두 화이팅하세요!!! 동시 검색 결과와 인덱스 검색 결과 Search Hit List 창에서 좌측 하단의 search hits를 더블 클릭합니다. 검색 결과 목록 옵션 [Delete] 옵션 검색결과를 목록에서 삭제합니다. [Force] 옵션 ‘+’ 연산자 해당 검색어가 파일에 포함되어 있는 것만 검색결과에서 보여줍니다. [Exclude] ‘-’ 연산자 해당 검색어가 파일에 포함되어 있으면 검색결과에서 제외됩니다. [Normal OR Combination] 초기화로 되돌립니다. ‘+’, ‘-’ 연산자가 아닌 다른 것을 이용하는 방법 Enter 버튼 왼쪽의 Min. ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 인덱스 검색 두번째 시간 입니다. 모두 화이팅하세요!!! 인덱스의 중복 생성 인덱스를 생성한 후 다시 인덱스를 생성하려고 하면, 기존의 인덱스를 덮어쓸 것인지 물어옵니다. - Yes : 기존의 인덱스를 덮어씁니다. - No : 새로운 인덱스를 생성한 후 기존의 인덱스와 합치게 됩니다. 인덱스 검색 ‘동시 검색’ 창에서 인덱스 검색을 합니다. [Search] --> [Simultaneous Search] --> [Search in Index] 인덱스 검색 취소 검색 도중 ESC를 누릅니다 [Export Word List] 옵션 인덱스에서 찾은 단어들을 중복없이 텍스트 파일로 만들어 줍니다. 검색결과 보기 [Search Hit List] 괄호 안에 있..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 인덱스 검색에 대해 알아 보겠습니다. 모두 화이팅하세요!!! 인덱스 검색 개요 인덱스 검색 vs 키워드 검색 인덱스를 만들게 되면 검색시간을 줄일 수 있는 장점이 있습니다. 그러나, 모든 케이스에 인덱스를 만들 필요는 없습니다. 사용자가 직접 검색을 시작하기 전에, 모든 단어에 대한 검색결과를 미리 찾아서, 이를 DB에 저장을 하게 됩니다. 검색 키워드가 불명확하거나 많고, 장기간의 조사가 불가피한 경우, 리뷰어(reviewer)가 여러 명으로 협업을 하고 있는 경우, 인덱스 검색을 하는 것이 좋습니다. 만약, 키워드가 명확하거나 적고, 시급히 단독으로 분석을 계속 해야 하는 경우에는 키워드 검색이 바람직합니다. 인덱스 생성 25개 이상의 사전에 ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 정규표현식에 대해 알아 봅니다. 모두 화이팅 하세요!!! 정규표현 패턴화된 문자열(예: 이메일, URL, 전화번호, IP주소 등), 헥스(hex)를 쉽고 유연하게 검색하는 기술입니다. 정규표현 엔진은 다양하고, 정규표현을 잘 사용하면 전문가처럼 보일 수도 있겠지만, 포렌식 전문가들은 정규표현 외에도 공부해야 할 것이 너무 많으므로, 정규표현에 너무 집착하면 시간 낭비일 수도 있습니다. 그러나 시험 출제하기에는 정규표현식 만큼 좋은 것도 없으므로 자격시험을 준비중인 취준생들에게는 반드시 학습해야 할 파트이기도 합니다.ㅠ XWF의 정규표현식 기호 의미 . 1개의 문자와 일치 # 1개의 숫자와 일치 [] 특정값의 그룹을 정의, 예) [a-z0-9] : ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 XWF의 검색기능에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! [Cover file slack/free space transition] 옵션 [Open and search files incl. slack] 옵션이 체크 또는 반만 체크되어 있을 경우에만 활성화됩니다. 체크하면, 파일 슬랙을 검색할 때 주변에 있는 빈 공간도 함께 검색합니다. [Decode text in files] 옵션 체크하면, 뷰어 컴포넌트를 사용하여 파일의 내용을 디코딩합니다. 파일에서 가져온 디코딩된 텍스트를 보기 위해서는 Directory Browser에서(Search Hit List가 아님) 파일을 선택한 다음 Preview 모드로 전환해야 합니다. 지원되는 포맷은 다음과 같습니..

안녕하세요. 도깬리 포렌식스 입니다. 애독자님들 새해 복 많이 받으세요. 오늘은 XWF의 검색 기능에 대해 알아 봅니다. 모두 화이팅하세요!!! XWF의 검색 기능 XWF는 단순 문자열 검색(키워드 검색), 정규 표현식 검색(Grep 검색), 혼합 검색을 지원합니다. XWF는 단순 물리적 검색, 슬랙공간 검색 등을 지원합니다. XWF는 디스크에 저장된 상태 그대로의 파일 내용 검색, 복잡한 파일을 디코딩하여 그 내용까지 검색(EnCase의 Transcript 탭, FTK의 Filtered 탭) 가능합니다. 동시검색 (Simultaneous Search, SS) 단순 문자열 검색과 정규 표현식 검색을 ‘동시에’ 할 수 있다는 의미입니다. 키워드 검색, GREP 기반 검색, 전체단어 검색, 인코딩된 파일의 ..