X-Ways 실무 활용 가이드
- X-Ways 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
케이스 생성 [ by 김종광 ]
X-Ways Forensics 실행 화면
바탕화면 내 설치 된 X-Ways Forensics 아이콘을 더블 클릭하여 프로그램을 실행합니다.
분석을 위한 기본 환경 설정
X-Ways 상단 메뉴 바의 [Options] -> [General] 버튼을 클릭합니다.
분석을 위한 기본 환경 설정
작업을 위한 케이스가 저장되는 위치와 이미지 및 백업파일이 저장되는 경로를 지정합니다.
경로 설정 옵션
-
1. Path for temporary files
- 포렌식 분석 시 생성되는 임시 파일들을 저장하는 경로를 지정하는 옵션으로 분석 속도에 영향을 미칠 수 있으므로 가급적 SSD 내 경로를 권장합니다.
-
2. Path for images and backup files
- 포렌식 분석 시 생성되는 이미지 파일 및 백업 파일이 저장되는 경로를 지정합니다.
-
3. Path for cases and projects
- 포렌식 분석 시 생성되는 케이스 및 프로젝트 관련 파일들이 저장되는 경로를 지정합니다.
-
4. Paths for internal hash databases
- 해시 분석 시 사용 될 내부 해시 데이터베이스가 저장 된 경로를 지정합니다.
분석을 위한 기본 환경 설정
관련 데이터들이 저장되는 폴더들을 하나의 경로에 전부 모아놓으면 이후 케이스 관리에 용이합니다.
분석을 위한 기본 환경 설정
경로 설정이 완료되면 시간 관련 설정을 위해 하단 [Notation] 버튼을 클릭합니다.
분석을 위한 기본 환경 설정
Notation 설정 내 Date/time delimiter 설정 값에 공백(space) 값을 하나 추가합니다.
이후 포렌식 분석 시 모든 아티팩트 데이터의 시간 표시에 공백이 추가되어 가독성이 증가됩니다.
케이스 생성
포렌식 분석을 위한 케이스를 생성하기 위해 왼쪽 끝 [Case Data] 내 [File] 버튼을 클릭하여 [Create New Case] 버튼을 클릭합니다.
케이스 생성
케이스 생성을 위해 분석 작업에 대한 다양한 정보를 입력할 수 있습니다.
케이스 정보 설정
-
1. Case title/number
- 해당 케이스의 주 제목 및 분석 회차 수를 입력합니다.
-
2. Directory
- 해당 케이스 데이터가 저장되는 경로를 지정하는 설정으로 만약 따로 설정하지 않는다면 위 환경 설정의 기본 경로가 입력됩니다.
-
3. Description
- 해당 케이스의 상세 정보를 입력합니다 주로 사건 번호, 조사, 상황, 내용 등 조사 분석에 이해를 도울 수 있는 정보를 입력하는 것을 권장합니다.
-
4. Examiner(s). organization, address:
- 해당 케이스를 통해 조사 분석을 하는 실제 조사관/수사관의 정보(이름, 조직, 주소)를 입력합니다.
케이스 생성
케이스 정보 입력 후 타임 존 설정을 위해 하단 시계 표시 모양의 아이콘을 클릭합니다.
케이스 생성
포렌식 조사 대상 시스템 시간에 맞추어 UTC 시간을 설정합니다.
케이스 생성 완료
케이스 설정이 완료되면 왼쪽 [Case Data] 창에 생성 된 케이스를 확인할 수 있습니다.