[ccibomb@CRG]# _bykim

[X-Ways Forensics] 18 인덱스 슬랙(Index Slack)까지  확인하기

c.f) NTFS의 인덱스 구조는 B Tree임

빠르게 검색이 필요한 데이터는 인덱스 구조로 관리함

(디렉토리의 MFT Entry, Non-Resident 인덱스 노드 등)

X-ways에서 인덱스 슬랙까지 확인하는 방법

(파일시스템에 대한 지식이 충분하면, 당연히 수동으로 확인하면 제일 좋음)

// 옵션 'Particularly thorough file system data structure search'

(EnCase의 'Lost Folders'와 유사함)

// List earlier names/paths

(NTFS 인덱스 슬랙의 정보까지 모아서 목록화해줌)

인덱스 슬랙 포렌식을 통한 삭제된 파일 정보 확인

(참고: http://koreascience.kr/article/JAKO201520448048465.pdf)

VS : Volme Snapshot

Volume Snapshot은 X-Ways Forensics에서 가장 중요하고 강력한 기능 중 하나이다.

EnCase의 Evidence Processor와 유사하나, 보다 강력하다고 생각한다.

증거객체의 데이터와 관련 정보를 저장하는 X-Ways Forensics의 DB라고 보면 된다.

X-Ways Forensics 상의 모든 분석과정(태깅, 제외 등)과 결과는 전부 Volume Snapshot에 저장된다.

디렉토리 브라우저 옵션(Directory Browser Options)를 통해,

'Volume Snapshot Options' 설정 가능하다.

대부분은 새로운 볼륨 스냅샷을 생성할 때, 효력이 발생한다.

다양한 옵션들이 있으나, 기본 옵션으로 사용하는 것을 권장한다.

※ Net free space computation 옵션?

X-Ways Forensics는 EnCase와 달리, 순수 free space 크기를 계속하여 계산해준다.

분석할 때마다 free space 중

이미 분석한 데이터를 제외시켜주고,

순수한 free space를 계속하여 계산해주는 것이다.

따라서 EnCase의 Unallocated Cluster처럼

고정된 크기로 보고 싶으면, 체크 해제해주면 된다.

RVS : Refine Volme Snapshot

EnCase의 Evidence Processor와 유사하다.

증거객체를 추가적으로 분석하여, 썸네일 찾기,

압축파일 탐색, 메타데이터 가져오기, 이메일 가져오기, 타임라인 분석 등을 수행한다.

Particularly thorough file system data structure search 옵션의 경우,

볼륨 쉐도우 카피, $LogFile 등 파싱을 통한 분석을 수행해준다.

※ 참고사항 : 

FAT에서 확인되는 고아파일은 이전 혹은 현재 파일시스템에서 생성된 것이며,

NTFS에서 확인되는 고아파일은 대부분 이전 파일시스템에서 생성된 것이다.