[ccibomb@CRG]# _bykim

Export list : 선택한 객체의 지정한 컬럼 정보를 추출해주는 기능

클립보드에 복사하거나 TSV, HTML, XML, Project Vic JSN 형태로 추출가능함

X-Ways Forensics를 활용한 보고서 생성시 추가할 수 있음

필요한 컬럼 정보를 선택하여 Clipboard에 복사한 후, Excel에 붙여넣기 가능

Tooltips.txt(사용자정의 툴팁)

사용자는 체크박스, 라디오버튼, 드롭다운 박스, 일반 푸시버튼(확인,취소,도움말 제외)에 대해

사용자 정의 툴팁을 정의할 수 있음

Shift + 해당 항목을 눌러서 툴팁 작성 가능

이는 tooltips.txt에 저장됨

tooltips.txt는 X-ways Forensics 프로그램 종료시 설치폴더에 생성됨

tooltips.txt는 유니코드로 저장되며, 최대 510자와 줄바꿈 지원함

이와 같이 메뉴 위에 마우스가 올라가면 설명이 보이므로, 분석시 확실히 편함

각 항목 왼쪽에 회색 별표가 있으면 툴팁이 존재함을 의미함

기존의 다른 tooltips.txt로 대체 가능함

VS : Volme Snapshot

Volume Snapshot은 X-Ways Forensics에서 가장 중요하고 강력한 기능 중 하나이다.

EnCase의 Evidence Processor와 유사하나, 보다 강력하다고 생각한다.

증거객체의 데이터와 관련 정보를 저장하는 X-Ways Forensics의 DB라고 보면 된다.

X-Ways Forensics 상의 모든 분석과정(태깅, 제외 등)과 결과는 전부 Volume Snapshot에 저장된다.

디렉토리 브라우저 옵션(Directory Browser Options)를 통해,

'Volume Snapshot Options' 설정 가능하다.

대부분은 새로운 볼륨 스냅샷을 생성할 때, 효력이 발생한다.

다양한 옵션들이 있으나, 기본 옵션으로 사용하는 것을 권장한다.

※ Net free space computation 옵션?

X-Ways Forensics는 EnCase와 달리, 순수 free space 크기를 계속하여 계산해준다.

분석할 때마다 free space 중

이미 분석한 데이터를 제외시켜주고,

순수한 free space를 계속하여 계산해주는 것이다.

따라서 EnCase의 Unallocated Cluster처럼

고정된 크기로 보고 싶으면, 체크 해제해주면 된다.

RVS : Refine Volme Snapshot

EnCase의 Evidence Processor와 유사하다.

증거객체를 추가적으로 분석하여, 썸네일 찾기,

압축파일 탐색, 메타데이터 가져오기, 이메일 가져오기, 타임라인 분석 등을 수행한다.

Particularly thorough file system data structure search 옵션의 경우,

볼륨 쉐도우 카피, $LogFile 등 파싱을 통한 분석을 수행해준다.

※ 참고사항 : 

FAT에서 확인되는 고아파일은 이전 혹은 현재 파일시스템에서 생성된 것이며,

NTFS에서 확인되는 고아파일은 대부분 이전 파일시스템에서 생성된 것이다.

Winhex와 X-Ways Forensics는 동일 코드를 기반으로 하고 있지만, 

X-Ways Forensics는 Winhex보다 많은 포렌식 기능을 제공함.

하지만 Winhex와 같이 디스크 섹터를 편집하는 등의 기능은 허용되지 않음

디지털포렌식 도구의 가장 큰 특징인 '무결성 보장' 때문임.

오직 read-only 모드로만 볼 수 있음.

이러한 강력한 X-ways Forensics의 쓰기방지 기능은

획득/분석 과정 중

원본 증거가 어떠한 경우에도 조금이라도 변경되지 않도록 보장해줌.

X-Ways Forensics의 OS-Wide Write Protection은

로컬로 연결된 물리적 스토리지 장치(removable media)가

운영체제에서 어떤 볼륨에 붙든지 쓰기방지를 지원함.

이는 쓰기방지 기능을 제거하거나, 장치를 빼거나,

컴퓨터를 재부팅할때까지 적용됨

단, Windows 운영체제가 디스크를 감지하고 액세스한 후에만

쓰기방지가 적용됨. S/W 쓰기방지 장치 기능의 한계일 수 밖에 없음.

이를 방지하려면, Windows 운영체제의 자동 마운팅 기능을 비활성화하여

처음 스토리지 장치를 붙일 때부터 offline 모드를 유지해주어야 함.

oneeline 모드의 장치에 쓰기방지 기능을 적용하면,

읽기 전용으로 렌더링 되는 동시에 자동으로 온라인 상태가 됨.

또한, 전체 물리 저장장치가 아닌

GPT-paritioned 디스크의 특정 볼륨(드라이브 문자로 마운트된 경우)만

선택적으로 쓰기방지할 수 있음.

(단, MBR이 있는 디스크에서 하나의 볼륨만 쓰기방지를 하더라도,

같은 디스크의 다른 볼륨들에 영향을 줄 수 있음.)

Analyze File (F2)

파일 내의 데이터를 스캔하여 각 바이트 값(0~255)의 횟수를 카운트함

결과는 막대그래프로 표시됨

(마우스를 해당 막대그래프 위에 올리면, 각 바이트 값에 대한 횟수와 백분율이 표시됨)

알 수 없는 데이터 유형을 분석할 경우, 막대그래프의 특징으로 데이터 유형을 추정해볼 수 있음

(오디오 데이터, 압축 데이터, 실행파일 등은 각각 서로 다른 유형의 그래프를 보임)

소량의 데이터(<50,000바이트) 분석시, zlib이 해당 데이터의 압축비를 보여줌

★ 요약 : 파일 내 문자열 빈도수 등 확인 가능(ASCII 기준), 압축율(압축여부) 확인 가능

Tools - Analyze File(F2)

※ 주의사항

하단 탭 컨트롤 부분에서 'File'을 선택해야, 'Tools - Analyze File'이 활성화 됨

'Volume' 또는 'Partition'이 선택되어 있는 경우, 'Tools - Analyze Disk'로 활성화 됨

1.     File Header 이용한 Carving

특징적인 파일 헤더 시그니처(바이트 값의 특정 순서)로 인식할 수 있는 파일을 검색한다.

파일시스템 구조에 의존하지 않기 때문에, 삭제된 파일도 Carving이 가능하다.

Tools - Disk Tools - File Recovery by Type

파일 헤더 시그니처를 기반으로 발견된 파일은

아무 곳에나 저장되지 않고 볼륨 스냅샷의 전용 가상 디렉터리에 목록화된다.

즉, 파일에 대한 참조만 저장된다(임의로 붙인 이름, 추정 크기, 시작 오프셋 등).

파일 내용은 파일을 보거나 복사하는 경우, 원본 디스크/이미지에서 즉시 읽는다.

필요시, 해당 파일들을 추출하여 별도의 저장공간에 저장 가능하다.

2.    Refine Volume Snapshot을 이용한 Carving

※ 참고사항 :

이미 Volume Snapshot을 통해 복구/분석된 파일은 free space에서 제외되므로,

오히려 disk tools를 이용한 것보다 결과가 적을 수 있다.

그러나 X-ways를 이용해 계속 분석한다면,

어차피 Volume Snapshot을 이용해 분석하는 것이므로 더 강력하다고 볼 수 있다.

필요에 따라 구분하여 사용해야 한다.

(1) Operations at the disk/poartition level

- File header signature search를 선택하면

위와 같이 파일 헤더 시그니처를 이용한 카빙이 된다.

카빙된 파일은 Path unknown 폴더에 저장된다.

즉, Refine Volume Snapshot은 증거 객체를 추가적으로 분석하여

Volume Snapshot에 더 많은 데이터를 추가하는 것이다.

위와 같이 다양한 옵션으로 추가 분석을 수행한 후,

그 분석 결과를 Volume Snapshot에 저장한다.

c.f) X-ways는 Snapshot 기능을 이용하여 분석 Case를 저장한다.

이를 초기화하려면, Take New Volume Snapshot 기능을 이용하면 된다.

 Volume Snapshot은 X-wauys에서 가장 중요한 기능 중 하나다.

EnCase의 Evidence Processor와 유사하다.

1.     View - Template Manager

2.     Template Manager - NTFS Boot Sector

3.     기존에 알려진 NTFS Filesystem 해석

4.     Templates 추가

·         tpl 파일을 복사하여 xways 설치 폴더에 저장한다.

X-ways 종료 후 재실행하면 적용된다.

 // 템플릿 정의는 확장명이 .tpl인 텍스트 파일에 저장된다.

템플릿 편집기로 템플릿 정의를 작성하고 구문 검사를 할 수 있다.

c.f) 그 밖의 templates:

www.x-ways.net/winhex/templates/

1.     File - Restore Image

이미지 파일(e01 등)을 이용하여

디스크를 생성한다.

라이브로 분석이 가능하다.

(유사 기능을 대부분의 포렌식 프로그램에서 지원한다.)

c.f) Forensic Explorer by GetDataForensics.com

최근에는 이 프로그램을 이용하여 이미지 파일을 라이브 부팅을 한다.

이미지(e01 등)을 Vmware로 라이브부팅 가능히하다.

재현을 쉽게 할 수 있고, 부팅암호 등 우회기능까지 포함되어 있어 상당히 편리하다.

Download : https://getdataforensics.com/product/forensic-explorer-fex/download/

1.     Viewer 프로그램 설정

2.     텍스트에디터, 구글크롬 등을 뷰어 프로그램으로 설정 가능하다.

3.     뷰어 컴포넌트가 적용된 경우,

다음과 같이 .lnk 파일의 'Preview' 확인 가능하다.

1.     General Options (F5)

권장사항 :

(1) 관리자권한 실행(Always run as administrator)을 권장한다.

(2) 기본설정은 최적화된 설정이므로, 특별한 경우 아니라면 기본설정으로 분석하는 것을 권장한다.

(3) 분석할 때는 SSD에 Case, Temp 폴더가 있는 것이 빠르므로, 분석 후 별도 드라이브에 백업하는 것을 권장한다.

1-1. Time zone 설정

(Default가 일본으로 되어있으니, 한국으로 변경하자. 시간은 같지만 그래도-_-;)

1-2. Notation 설정

날짜,시간 표시 등 설정 변경 가능하다.

(1) Seconds: digits after decimal 옵션 :

소수점 이하 3째자리까지 확인 가능하다.

특히, 악성코드 분석시 파일의 시간정보가 일률적으로 변경된 것인지 확인할 때 유용하다.

(2) Display the sizes always in bytes 옵션 :

반만 설정하는 것을 권장한다.

반만 설정하면,

용량이 큰 볼륨은 GB, MB로 표시하고, 파일은 Byte 단위로 표시한다.

(3) Created Time 보다 Modified Time이 빠른 경우, 'copied'로 표시 옵션 :

압축해제, 저널링 등 다양한 경우가 있으므로, 필요에 따라 설정한다.

1-3. More Context Menus

윈도우 우클릭 메뉴에 Xways 추가

1-4. Show file icons : Large icons

2.     Directory Browser Options (Ctrl + F5)

X-ways는 EnCase와 달리,

Standard Information Attribute 외 FileName의 시간정보도 보여준다.

Created2, Modified2, Record changed2가 FileName의 시간정보이다.

SIA와 동일할 경우에는 안보여준다.

침해사고의 경우, 시간정보 8개 중 SIA만 변경하는 경우가 대다수이므로,

(API이용하면 손쉽게 변경이 가능하기 때문에)

분석시 유용하므로, 필드 크기를 설정해준다.

3.     Explore recursively

EnCase Homeplate 기능처럼, 하위 폴더 확인 가능하다.