X-Ways 실무 활용 가이드
- X-Ways 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
이미지 추가 [ by 김종광 ]
분석 대상 이미지 파일 추가
이전 단계에 이어 생성 된 케이스를 통해 조사 분석을 하고자 할 증거 데이터를 불러올 수 있습니다.
분석 대상 이미지 파일 추가
이전 단계를 통해 케이스를 생성한 다음 [Case Data] 탭에서 [File] 버튼을 클릭합니다.
경로 설정 옵션
-
1. Add Medium
- 현재 X-Ways를 실행하고 있는 시스템의 로컬 드라이브(파티션, 이동식 드라이브, CD/DVD 등)를 증거 데이터로 추가하는 방식
-
2. Add Directory
- 현재 X-Ways를 실행하고 있는 시스템의 특정 디렉토리를 증거 데이터로 추가하는 방식
-
3. Add File
- 특정 파일을 증거 데이터로 추가하는 방식으로 특정 파일은 포렌식 분석 가능한 모든 아티팩트들이 대상이 됨
-
4. Add Memory Dump
- 메모리 덤프 파일을 불러와 메모리 데이터를 증거 데이터로 추가하는 방식
-
5. Add Image
- 특정 디스크를 덤프 한 이미징 파일을 불러와 증거 데이터로 추가하는 방식으로 포렌식 현업에서 가장 많이 사용 됨
분석 대상 이미지 파일 추가
이미징 파일 추가 시 주로 사용되는 E01, dd, vmdk 등 다양한 확장자를 지원합니다.
분석 대상 이미지 파일 추가
이미징 파일을 선택 후 하단 [열기] 버튼을 눌러 증거 데이터로 추가합니다.
분석 대상 이미지 파일 추가
만약, 이미징 시 덤프 파일에 패스워드가 설정되어 있을 경우 증거 데이터로 추가하기 위해서는 패스워드를 입력해야 합니다.
분석 대상 이미지 파일 추가
성공적으로 이미징 파일이 증거 데이터로 추가되면 아래 화면과 같이 이미징 파일 내 파티션 구조를 보여줍니다.
분석 대상 이미지 파일 추가
파티션을 클릭하면 파티션 내 구조 분석을 통해 포렌식 분석을 수행할 수 있는 환경이 갖추어지므로
이후 다양한 분석 기법을 통해 아티팩트 분석을 수행할 수 있습니다.
