Digital Forensics/X-Ways2020. 12. 1. 22:13
반응형

1.     General Options (F5)

권장사항 :

(1) 관리자권한 실행(Always run as administrator)을 권장한다.

(2) 기본설정은 최적화된 설정이므로, 특별한 경우 아니라면 기본설정으로 분석하는 것을 권장한다.

(3) 분석할 때는 SSD Case, Temp 폴더가 있는 것이 빠르므로, 분석 후 별도 드라이브에 백업하는 것을 권장한다.

 

1-1. Time zone 설정

(Default가 일본으로 되어있으니, 한국으로 변경하자. 시간은 같지만 그래도-_-;)

 

1-2. Notation 설정

날짜,시간 표시 등 설정 변경 가능하다.

 

(1) Seconds: digits after decimal 옵션 :

소수점 이하 3째자리까지 확인 가능하다.

특히, 악성코드 분석시 파일의 시간정보가 일률적으로 변경된 것인지 확인할 때 유용하다.

 

(2) Display the sizes always in bytes 옵션 :

반만 설정하는 것을 권장한다.

반만 설정하면,

용량이 큰 볼륨은 GB, MB로 표시하고, 파일은 Byte 단위로 표시한다.

 

(3) Created Time 보다 Modified Time이 빠른 경우, 'copied'로 표시 옵션 :

압축해제, 저널링 등 다양한 경우가 있으므로, 필요에 따라 설정한다.

 

 

1-3. More Context Menus

윈도우 우클릭 메뉴에 Xways 추가

 

1-4. Show file icons : Large icons

 

 

 

2.     Directory Browser Options (Ctrl + F5)

 

X-ways EnCase와 달리,

Standard Information Attribute FileName의 시간정보도 보여준다.

Created2, Modified2, Record changed2 FileName의 시간정보이다.

SIA와 동일할 경우에는 안보여준다.

침해사고의 경우, 시간정보 8개 중 SIA만 변경하는 경우가 대다수이므로,

(API이용하면 손쉽게 변경이 가능하기 때문에)

분석시 유용하므로, 필드 크기를 설정해준다.

 

 

 

3.     Explore recursively

EnCase Homeplate 기능처럼, 하위 폴더 확인 가능하다.

 

반응형
Posted by CCIBOMB