도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 2022년 마지막 날 입니다. 올 한해도 정말 수고 많으셨습니다. 도깬리도 쉬지 않고 달려 왔네요. 애독자 님들의 성원에 감사드립니다. 오늘은 XWF로 레지스트리를 분석하는 방법을 설명합니다. 모두 화이팅하세요. X-Ways Forensics 레지스트리 분석하기 레지스트리 윈도우에서 ‘하이브’라고 불리는 파일에 각종 설정과 옵션값을 저장하고 있는 일종의 데이터베이스입니다. 레지스트리 분석을 위해서는 우선 필터를 사용하여 레지스트리 하이브만을 모아야 합니다. Type 컬럼 또는 Category 컬럼을 이용하여 레지스트리만을 필터링 합니다. XWF Registry Viewer 레지스트리 하이브를 더블 클릭하면 자동으로 Registry Viewer가 실행됩니다. 최대 64..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF의 해시 데이터베이스(Hash DB)를 이용한 해시 분석(Hash Analysis)에 대해 알아 보겠습니다. 모두 화이팅하세요!!! 해시분석 개요 사건과 관련된 파일을 가장 빨리 찾는 방법은 이미 존재하는 해시셋(해시DB)으로 분석대상 파일의 해시값과 비교해 보는 것입니다. 예) 아동포르노 파일의 해시값으로 분석대상 하드드라이브에 존재하는 파일의 해시값과 비교하여 조사 중복된 파일을 숨기고 필터링하여 관련 없는 파일을 제거하면 분석해야 하는 데이터의 양을 현저히 줄일 수 있습니다. XWF 내부 해시 데이터베이스와 해시셋 해시 데이터베이스의 저장 위치는 다음과 같이 설정합니다. [General Options] --> [Folder for internal h..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 RVS (Refine Volume Snapshop) 마지막 시간 입니다. 모두 화이팅 하세요.!!! [Extract e-mail messages and attachments from] 옵션 다양한 이메일 아카이브 파일에서 이메일 메시지와 첨부 파일을 추출하게 합니다. 지원 가능한 이메일 박스는 다음과 같습니다. - *.pst;*.ost;*.edb;*.dbx;*.pfc;*.mbox;*.eml;*.emlx;*.mht;*.olk14MsgSource;*.msg;*.oft;*.mbs;store.fdb - Outlook Personal Storage (.pst) - Office Storage (.ost) - Exchange (.edb) - Outlook Message (..

안녕하세요. 도깬리 포렌식스 입니다. Merry! Christmas... 오늘도 XWF의 RVS (Refine Volume Snapshot)에 대해 알아 봅니다. 모두 화이팅하세요!!! [Verify file types with signatures and algorithms] 옵션 확장자 변조 여부 분석기입니다. 실제 파일의 종류와 파일의 확장자의 일치 여부를 분석하여 그 결과를 보여 줍니다. 분석결과는 Type status 컬럼에서 확인 가능합니다. - EnCase : 테이블의 Signature Analysis 컬럼에 Alias로 표시된 것을 정렬하는 방법으로 분석합니다. - FTK : EP --> Flag Bad Extensions 를 실행하여 분석합니다. [Extract internal metada..

안녕하세요. 도깬리 포렌식스 입니다. 오늘도 XWF의 RVS (Refine Volume Snapshot) 기능에 대해 알아 봅니다. 특히 오늘은 파일 카빙(File Carving) 파트가 포함됩니다. 모두 화이팅 하세요!!! [File header signature search] 옵션 ‘파일카빙(File carving)’입니다. 파일 헤더의 시그너처 정보를 기반으로 파일을 찾아줍니다. [Default file size] 옵션 푸터(footer)가 없거나, 푸터가 정의되어 있지만 찾을 수 없는 경우에 파일의 크기를 정해서 잘라내야 합니다. [Max file size] 옵션 파일을 잘라 낼 때, 파일 크기를 정할 수 있습니다. 사전에 그 크기를 추정할 수 있다면, 좀 더 정확한 크기를 입력하는 것이 좋습니다..

안녕하세요. 도깬리 포렌식스 입니다. 오늘부터 XWF의 가장 중요한 기능인 RVS (Refine Volume Snapshot)에 대해 알아 보겠습니다. 다만 RVS 인터페이스는 최신 버전(20 버전대)과 조금 다르므로 참고하시기 바랍니다. 그럼 이제 시작해볼까요. RVS 시작하기 전체 인터페이스 모습 [Take new one] 옵션 새로운 VS가 강제로 생성됩니다. 만약 RVS를 새로 하게 되면, 기존에 수집하고 처리하였던 모든 데이터, 주석, 보고서 테이블과 관련된 모든 정보가 삭제됩니다. 즉, VS를 초기화 시키는 결과가 발생합니다. Already done? 표시 체크가 되어 있다면, 이전의 RVS에서 이미 완전하게 적용(모든 파일에 대해 적용)하였던 옵션임을 의미 합니다. 반만 체크 되어 있다면, ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 Volume Snapshot의 기능과 옵션에 대해 알아보겠습니다. 모두 화이팅하세요!!! Volume Snapshot (VS) XWF에서 자체적으로 생성하는 일종의 데이터베이스입니다. 증거 개체에 있는 데이터와 관련된 정보를 저장해 둡니다. 증거 개체마다 VS가 생성되며, XWF 인터페이스에서는 VS에 있는 데이터를 가져와서 그 정보를 Directory Tree, Directory Browser에 보여 주게 됩니다. XWF로 케이스에 있는 파일이나 다른 개체들에 대하여 분석작업(예: 파일을 읽음으로 표시하기, 파일 태그하기, 파일 숨기기 등)을 하게 되면, 그 결과값들은 VS에 저장하게 됩니다. VS는 RVS 작업의 시작점입니다. 케이스 안의 증거..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 Viewer Programs 옵션과 Security Options에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Viewer Programs 옵션 [View multiple pictures simultaneously] 옵션 체크하면, 창에서 하나 이상의 사진/그림 파일을 볼 수 있게 합니다. 체크안하면, 한번에 하나의 사진/그림 파일을 볼 수 있게 합니다. [Alternative preview of .eml] 옵션 체크하면, 이메일 헤더를 표로 정리하여 Preview에서 보기 쉽게 합니다. 반만 체크하면, 이메일 헤더를 제외하고 나머지를 볼 수 있게 합니다. 체크안하면, 아무런 형식 없이 .eml에 있는 그대로 보여 줍니다. [Crash-saf..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF에서의 메인 메뉴와 General Options 에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! Main menu (메인 메뉴) 메인 메뉴의 옵션들은 현재 tab control에 선택되어 있는 모든 증거 객체에 영향을 미칩니다. General Options [Show Start Center-up] 옵션 체크하면, XWF를 열 때 Start Center 창이 표시되고, 최근에 열어본 개체와 Case로 바로 접근할 수 있도록 합니다. 반만 체크하면, 옵션 이름이 [Restore last window arrangement]로 바뀝니다. XWF가 창의 위치를 저장해 두었다가, 다음에 XWF를 시작하게 되면 해당 위치에서 창이 열리도록 합니다. 체크안하면, X..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 XWF의 Status Bar와 Data interpreter에 대해 알아 보겠습니다. 모두 화이팅 하세요!! Status Bar Volume/Partition 모드에서 사용할 경우 Sector 논리적 섹터 번호 / 볼륨의 총 섹터수를 표시합니다. Offset 볼륨의 오프셋 시작점(16진수/10진수)을 표시합니다. Selected value 선택된 바이트값(블록처리한 바이트)값을 10진수로 표시합니다. Block 블록처리한 데이터의 시작점과 끝나는 점을 표시합니다. Size 선택된 바이트의 수를 16진수 또는 10진수로 표시합니다. File 모드의 경우, 한 개만 Volume/Partition 모드와 상이합니다. Page 파일에서 보이는 현재 데이터의 페이지와 ..