[ccibomb@CRG]# _bykim

1.     File - Restore Image

이미지 파일(e01 등)을 이용하여

디스크를 생성한다.

라이브로 분석이 가능하다.

(유사 기능을 대부분의 포렌식 프로그램에서 지원한다.)

c.f) Forensic Explorer by GetDataForensics.com

최근에는 이 프로그램을 이용하여 이미지 파일을 라이브 부팅을 한다.

이미지(e01 등)을 Vmware로 라이브부팅 가능히하다.

재현을 쉽게 할 수 있고, 부팅암호 등 우회기능까지 포함되어 있어 상당히 편리하다.

Download : https://getdataforensics.com/product/forensic-explorer-fex/download/

1.     Viewer 프로그램 설정

2.     텍스트에디터, 구글크롬 등을 뷰어 프로그램으로 설정 가능하다.

3.     뷰어 컴포넌트가 적용된 경우,

다음과 같이 .lnk 파일의 'Preview' 확인 가능하다.

1.     General Options (F5)

권장사항 :

(1) 관리자권한 실행(Always run as administrator)을 권장한다.

(2) 기본설정은 최적화된 설정이므로, 특별한 경우 아니라면 기본설정으로 분석하는 것을 권장한다.

(3) 분석할 때는 SSD에 Case, Temp 폴더가 있는 것이 빠르므로, 분석 후 별도 드라이브에 백업하는 것을 권장한다.

1-1. Time zone 설정

(Default가 일본으로 되어있으니, 한국으로 변경하자. 시간은 같지만 그래도-_-;)

1-2. Notation 설정

날짜,시간 표시 등 설정 변경 가능하다.

(1) Seconds: digits after decimal 옵션 :

소수점 이하 3째자리까지 확인 가능하다.

특히, 악성코드 분석시 파일의 시간정보가 일률적으로 변경된 것인지 확인할 때 유용하다.

(2) Display the sizes always in bytes 옵션 :

반만 설정하는 것을 권장한다.

반만 설정하면,

용량이 큰 볼륨은 GB, MB로 표시하고, 파일은 Byte 단위로 표시한다.

(3) Created Time 보다 Modified Time이 빠른 경우, 'copied'로 표시 옵션 :

압축해제, 저널링 등 다양한 경우가 있으므로, 필요에 따라 설정한다.

1-3. More Context Menus

윈도우 우클릭 메뉴에 Xways 추가

1-4. Show file icons : Large icons

2.     Directory Browser Options (Ctrl + F5)

X-ways는 EnCase와 달리,

Standard Information Attribute 외 FileName의 시간정보도 보여준다.

Created2, Modified2, Record changed2가 FileName의 시간정보이다.

SIA와 동일할 경우에는 안보여준다.

침해사고의 경우, 시간정보 8개 중 SIA만 변경하는 경우가 대다수이므로,

(API이용하면 손쉽게 변경이 가능하기 때문에)

분석시 유용하므로, 필드 크기를 설정해준다.

3.     Explore recursively

EnCase Homeplate 기능처럼, 하위 폴더 확인 가능하다.

1. X-ways는 포터블 버전으로 설치없이 실행 가능하다.

Setup.exe는 단순히 전체 파일을 Program Files 내 복사 후

바탕화면에 링크파일 생성해 주는게 전부이므로,

굳이 설치할 필요가 없다.

2. X-ways 설치폴더 안에 Viewer 컴포넌트 파일 전체를 옮긴다.

뛰어난 확장성이 있다.

같은 폴더 내에만 들어있으면 알아서 기능을 확장한다. 

3. 마찬가지로, X-ways 설치폴더 안에 Mplayer 프로그램 파일 전체를 옮긴다.

c.f) x-ways 실행파일을 winhex.exe로 파일이름만 변경하면,

winhex로 실행가능하다.

즉, 포렌식 버전이 아니므로 바이너리 데이터들까지 편집 가능하다.