1. General Options (F5)
권장사항 :
(1) 관리자권한 실행(Always run as administrator)을 권장한다.
(2) 기본설정은 최적화된 설정이므로, 특별한 경우 아니라면 기본설정으로 분석하는 것을 권장한다.
(3) 분석할 때는 SSD에 Case, Temp 폴더가 있는 것이 빠르므로, 분석 후 별도 드라이브에 백업하는 것을 권장한다.
1-1. Time zone 설정
(Default가 일본으로 되어있으니, 한국으로 변경하자. 시간은 같지만 그래도-_-;)
1-2. Notation 설정
날짜,시간 표시 등 설정 변경 가능하다.
(1) Seconds: digits after decimal 옵션 :
소수점 이하 3째자리까지 확인 가능하다.
특히, 악성코드 분석시 파일의 시간정보가 일률적으로 변경된 것인지 확인할 때 유용하다.
(2) Display the sizes always in bytes 옵션 :
반만 설정하는 것을 권장한다.
반만 설정하면,
용량이 큰 볼륨은 GB, MB로 표시하고, 파일은 Byte 단위로 표시한다.
(3) Created Time 보다 Modified Time이 빠른 경우, 'copied'로 표시 옵션 :
압축해제, 저널링 등 다양한 경우가 있으므로, 필요에 따라 설정한다.
1-3. More Context Menus
윈도우 우클릭 메뉴에 Xways 추가
1-4. Show file icons : Large icons
2. Directory Browser Options (Ctrl + F5)
X-ways는 EnCase와 달리,
Standard Information Attribute 외 FileName의 시간정보도 보여준다.
Created2, Modified2, Record changed2가 FileName의 시간정보이다.
SIA와 동일할 경우에는 안보여준다.
침해사고의 경우, 시간정보 8개 중 SIA만 변경하는 경우가 대다수이므로,
(API이용하면 손쉽게 변경이 가능하기 때문에)
분석시 유용하므로, 필드 크기를 설정해준다.
3. Explore recursively
EnCase Homeplate 기능처럼, 하위 폴더 확인 가능하다.
'Digital Forensics > X-Ways' 카테고리의 다른 글
| [X-Ways Forensics] 6 Data Carving (0) | 2020.12.01 |
|---|---|
| [X-Ways Forensics] 5 Templates (0) | 2020.12.01 |
| [X-Ways Forensics] 4 Restore Image(라이브 분석) (0) | 2020.12.01 |
| [X-Ways Forensics] 3 View 컴포넌트 (0) | 2020.12.01 |
| [X-Ways Forensics] 1 시작하기 (1) | 2020.12.01 |
