[ccibomb@CRG]# _bykim

VBR 확인

Volume Serial Number 확인 (Little Endian)

※ VBR(Volume Boot Record)

VBR은 NTFS로 포맷된 볼륨의 가장 앞 부분에 위치함

부트 섹터, NTLDR 위치정보, 추가적인 부트 코드를 저장함

VBR의 앞에는 MBR(1 sector) + Slack(62 sector 또는 2047 sector : 기본 OS 포맷시)가 있음

FAT 파티션의 예약된 영역과 유사하게

부트 섹터(Boot Sector)와 부트 코드(NTLDR Information & Boot Strap)로 구성됨

일정한 크기를 갖지 않고 클러스터 크기에 따라 가변적임

MBR(Master Boot Record)에서 부팅 가능한 파티션을 찾은 후,

해당 파티션의 VBR을 호출함

1. .txt 확장자를 가지는 파일 중 1MB ~ 2MB 크기를 가지는 파일은 몇 개인가요?

2. 파일명에 "AMOLED"가 들어가는 파일 중 삭제된 파일은 몇 개인가요?

3. 전체 파일 중 이메일 파일만 필터링하세요

Navigation

파일시스템에서 관련 데이터 구조를 직접 찾을 수 있도록 지원함

(예. NTFS의 파일 레코드, Ext2/Ext3/Ext4의 inode, FAT의 디렉토리 항목 등)

1. List Clusters

선택 객체(파일/디렉토리)에 할당된 모든 클러스터 목록을 표시함

클러스터 목록을 텍스트 파일로 추출 가능함

2. Seek File Record

각 파일의 $MFT Record로 이동 가능함

Xways는 $MFT의 구조 등 파일시스템 정보를 자동으로 분석해줌

3. Seek parent object

선택 객체의 부모 객체로 이동함

백스페이스 키를 누를것과 동일함

하위 객체는 디렉토리의 일반파일 또는 Email 아카이브의 메시지 또는 첨부파일일 수 있음

4. See selected item from volume root

동일한 볼륨의 다른 모든 팡리 중에서 선택한 파일을 표시함

파일시스템의 루트에서 재귀적으로 탐색함

동일 파일시스템에서 동일한 이름, 동일한 ID(볼륨 Shadow copy의 이전버전 등),

동일한 소유자, 동일한 sender 또는 유사한 타임스탬프를 가진 파일이 있는지

확인하는데 유용함(by 정렬 기능 활용)

Export list : 선택한 객체의 지정한 컬럼 정보를 추출해주는 기능

클립보드에 복사하거나 TSV, HTML, XML, Project Vic JSN 형태로 추출가능함

X-Ways Forensics를 활용한 보고서 생성시 추가할 수 있음

필요한 컬럼 정보를 선택하여 Clipboard에 복사한 후, Excel에 붙여넣기 가능

Tooltips.txt(사용자정의 툴팁)

사용자는 체크박스, 라디오버튼, 드롭다운 박스, 일반 푸시버튼(확인,취소,도움말 제외)에 대해

사용자 정의 툴팁을 정의할 수 있음

Shift + 해당 항목을 눌러서 툴팁 작성 가능

이는 tooltips.txt에 저장됨

tooltips.txt는 X-ways Forensics 프로그램 종료시 설치폴더에 생성됨

tooltips.txt는 유니코드로 저장되며, 최대 510자와 줄바꿈 지원함

이와 같이 메뉴 위에 마우스가 올라가면 설명이 보이므로, 분석시 확실히 편함

각 항목 왼쪽에 회색 별표가 있으면 툴팁이 존재함을 의미함

기존의 다른 tooltips.txt로 대체 가능함

VS : Volme Snapshot

Volume Snapshot은 X-Ways Forensics에서 가장 중요하고 강력한 기능 중 하나이다.

EnCase의 Evidence Processor와 유사하나, 보다 강력하다고 생각한다.

증거객체의 데이터와 관련 정보를 저장하는 X-Ways Forensics의 DB라고 보면 된다.

X-Ways Forensics 상의 모든 분석과정(태깅, 제외 등)과 결과는 전부 Volume Snapshot에 저장된다.

디렉토리 브라우저 옵션(Directory Browser Options)를 통해,

'Volume Snapshot Options' 설정 가능하다.

대부분은 새로운 볼륨 스냅샷을 생성할 때, 효력이 발생한다.

다양한 옵션들이 있으나, 기본 옵션으로 사용하는 것을 권장한다.

※ Net free space computation 옵션?

X-Ways Forensics는 EnCase와 달리, 순수 free space 크기를 계속하여 계산해준다.

분석할 때마다 free space 중

이미 분석한 데이터를 제외시켜주고,

순수한 free space를 계속하여 계산해주는 것이다.

따라서 EnCase의 Unallocated Cluster처럼

고정된 크기로 보고 싶으면, 체크 해제해주면 된다.

RVS : Refine Volme Snapshot

EnCase의 Evidence Processor와 유사하다.

증거객체를 추가적으로 분석하여, 썸네일 찾기,

압축파일 탐색, 메타데이터 가져오기, 이메일 가져오기, 타임라인 분석 등을 수행한다.

Particularly thorough file system data structure search 옵션의 경우,

볼륨 쉐도우 카피, $LogFile 등 파싱을 통한 분석을 수행해준다.

※ 참고사항 : 

FAT에서 확인되는 고아파일은 이전 혹은 현재 파일시스템에서 생성된 것이며,

NTFS에서 확인되는 고아파일은 대부분 이전 파일시스템에서 생성된 것이다.

Winhex와 X-Ways Forensics는 동일 코드를 기반으로 하고 있지만, 

X-Ways Forensics는 Winhex보다 많은 포렌식 기능을 제공함.

하지만 Winhex와 같이 디스크 섹터를 편집하는 등의 기능은 허용되지 않음

디지털포렌식 도구의 가장 큰 특징인 '무결성 보장' 때문임.

오직 read-only 모드로만 볼 수 있음.

이러한 강력한 X-ways Forensics의 쓰기방지 기능은

획득/분석 과정 중

원본 증거가 어떠한 경우에도 조금이라도 변경되지 않도록 보장해줌.

X-Ways Forensics의 OS-Wide Write Protection은

로컬로 연결된 물리적 스토리지 장치(removable media)가

운영체제에서 어떤 볼륨에 붙든지 쓰기방지를 지원함.

이는 쓰기방지 기능을 제거하거나, 장치를 빼거나,

컴퓨터를 재부팅할때까지 적용됨

단, Windows 운영체제가 디스크를 감지하고 액세스한 후에만

쓰기방지가 적용됨. S/W 쓰기방지 장치 기능의 한계일 수 밖에 없음.

이를 방지하려면, Windows 운영체제의 자동 마운팅 기능을 비활성화하여

처음 스토리지 장치를 붙일 때부터 offline 모드를 유지해주어야 함.

oneeline 모드의 장치에 쓰기방지 기능을 적용하면,

읽기 전용으로 렌더링 되는 동시에 자동으로 온라인 상태가 됨.

또한, 전체 물리 저장장치가 아닌

GPT-paritioned 디스크의 특정 볼륨(드라이브 문자로 마운트된 경우)만

선택적으로 쓰기방지할 수 있음.

(단, MBR이 있는 디스크에서 하나의 볼륨만 쓰기방지를 하더라도,

같은 디스크의 다른 볼륨들에 영향을 줄 수 있음.)

Analyze File (F2)

파일 내의 데이터를 스캔하여 각 바이트 값(0~255)의 횟수를 카운트함

결과는 막대그래프로 표시됨

(마우스를 해당 막대그래프 위에 올리면, 각 바이트 값에 대한 횟수와 백분율이 표시됨)

알 수 없는 데이터 유형을 분석할 경우, 막대그래프의 특징으로 데이터 유형을 추정해볼 수 있음

(오디오 데이터, 압축 데이터, 실행파일 등은 각각 서로 다른 유형의 그래프를 보임)

소량의 데이터(<50,000바이트) 분석시, zlib이 해당 데이터의 압축비를 보여줌

★ 요약 : 파일 내 문자열 빈도수 등 확인 가능(ASCII 기준), 압축율(압축여부) 확인 가능

Tools - Analyze File(F2)

※ 주의사항

하단 탭 컨트롤 부분에서 'File'을 선택해야, 'Tools - Analyze File'이 활성화 됨

'Volume' 또는 'Partition'이 선택되어 있는 경우, 'Tools - Analyze Disk'로 활성화 됨

1.     File Header 이용한 Carving

특징적인 파일 헤더 시그니처(바이트 값의 특정 순서)로 인식할 수 있는 파일을 검색한다.

파일시스템 구조에 의존하지 않기 때문에, 삭제된 파일도 Carving이 가능하다.

Tools - Disk Tools - File Recovery by Type

파일 헤더 시그니처를 기반으로 발견된 파일은

아무 곳에나 저장되지 않고 볼륨 스냅샷의 전용 가상 디렉터리에 목록화된다.

즉, 파일에 대한 참조만 저장된다(임의로 붙인 이름, 추정 크기, 시작 오프셋 등).

파일 내용은 파일을 보거나 복사하는 경우, 원본 디스크/이미지에서 즉시 읽는다.

필요시, 해당 파일들을 추출하여 별도의 저장공간에 저장 가능하다.

2.    Refine Volume Snapshot을 이용한 Carving

※ 참고사항 :

이미 Volume Snapshot을 통해 복구/분석된 파일은 free space에서 제외되므로,

오히려 disk tools를 이용한 것보다 결과가 적을 수 있다.

그러나 X-ways를 이용해 계속 분석한다면,

어차피 Volume Snapshot을 이용해 분석하는 것이므로 더 강력하다고 볼 수 있다.

필요에 따라 구분하여 사용해야 한다.

(1) Operations at the disk/poartition level

- File header signature search를 선택하면

위와 같이 파일 헤더 시그니처를 이용한 카빙이 된다.

카빙된 파일은 Path unknown 폴더에 저장된다.

즉, Refine Volume Snapshot은 증거 객체를 추가적으로 분석하여

Volume Snapshot에 더 많은 데이터를 추가하는 것이다.

위와 같이 다양한 옵션으로 추가 분석을 수행한 후,

그 분석 결과를 Volume Snapshot에 저장한다.

c.f) X-ways는 Snapshot 기능을 이용하여 분석 Case를 저장한다.

이를 초기화하려면, Take New Volume Snapshot 기능을 이용하면 된다.

 Volume Snapshot은 X-wauys에서 가장 중요한 기능 중 하나다.

EnCase의 Evidence Processor와 유사하다.

1.     View - Template Manager

2.     Template Manager - NTFS Boot Sector

3.     기존에 알려진 NTFS Filesystem 해석

4.     Templates 추가

·         tpl 파일을 복사하여 xways 설치 폴더에 저장한다.

X-ways 종료 후 재실행하면 적용된다.

 // 템플릿 정의는 확장명이 .tpl인 텍스트 파일에 저장된다.

템플릿 편집기로 템플릿 정의를 작성하고 구문 검사를 할 수 있다.

c.f) 그 밖의 templates:

www.x-ways.net/winhex/templates/