Digital Forensics/X-Ways2020. 12. 3. 22:11
반응형

Winhex와 X-Ways Forensics는 동일 코드를 기반으로 하고 있지만, 

X-Ways Forensics는 Winhex보다 많은 포렌식 기능을 제공함.

 

하지만 Winhex와 같이 디스크 섹터를 편집하는 등의 기능은 허용되지 않음

디지털포렌식 도구의 가장 큰 특징인 '무결성 보장' 때문임.

오직 read-only 모드로만 볼 수 있음.

이러한 강력한 X-ways Forensics의 쓰기방지 기능은

획득/분석 과정 중

원본 증거가 어떠한 경우에도 조금이라도 변경되지 않도록 보장해줌.

 

X-Ways Forensics의 OS-Wide Write Protection은

로컬로 연결된 물리적 스토리지 장치(removable media)가

운영체제에서 어떤 볼륨에 붙든지 쓰기방지를 지원함.

이는 쓰기방지 기능을 제거하거나, 장치를 빼거나,

컴퓨터를 재부팅할때까지 적용됨

 

단, Windows 운영체제가 디스크를 감지하고 액세스한 후에만

쓰기방지가 적용됨. S/W 쓰기방지 장치 기능의 한계일 수 밖에 없음.

이를 방지하려면, Windows 운영체제의 자동 마운팅 기능을 비활성화하여

처음 스토리지 장치를 붙일 때부터 offline 모드를 유지해주어야 함.

oneeline 모드의 장치에 쓰기방지 기능을 적용하면,

읽기 전용으로 렌더링 되는 동시에 자동으로 온라인 상태가 됨.

 

또한, 전체 물리 저장장치가 아닌

GPT-paritioned 디스크의 특정 볼륨(드라이브 문자로 마운트된 경우)만

선택적으로 쓰기방지할 수 있음.

(단, MBR이 있는 디스크에서 하나의 볼륨만 쓰기방지를 하더라도,

같은 디스크의 다른 볼륨들에 영향을 줄 수 있음.)

반응형
Posted by CCIBOMB