'Seek File Record'에 해당되는 글 1건

  1. 2020.12.08 [X-Ways Forensics] 13 Navigation
Digital Forensics/X-Ways2020. 12. 8. 22:52
반응형

Navigation

파일시스템에서 관련 데이터 구조를 직접 찾을 수 있도록 지원함

(예. NTFS의 파일 레코드, Ext2/Ext3/Ext4의 inode, FAT의 디렉토리 항목 등)

 

1. List Clusters

선택 객체(파일/디렉토리)에 할당된 모든 클러스터 목록을 표시함

클러스터 목록을 텍스트 파일로 추출 가능함

 

2. Seek File Record

파일의 $MFT Record 이동 가능함

 

Xways $MFT 구조 파일시스템 정보를 자동으로 분석해줌

 

3. Seek parent object

선택 객체의 부모 객체로 이동함

백스페이스 키를 누를것과 동일함

하위 객체는 디렉토리의 일반파일 또는 Email 아카이브의 메시지 또는 첨부파일일 수 있음

 

4. See selected item from volume root

동일한 볼륨의 다른 모든 팡리 중에서 선택한 파일을 표시함

파일시스템의 루트에서 재귀적으로 탐색함

동일 파일시스템에서 동일한 이름, 동일한 ID(볼륨 Shadow copy의 이전버전 등),

동일한 소유자, 동일한 sender 또는 유사한 타임스탬프를 가진 파일이 있는지

확인하는데 유용함(by 정렬 기능 활용)

반응형
Posted by CCIBOMB