X-Ways 실무 활용 가이드
- X-Ways 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
해시 분석 [ by 김종광 ]
해시 데이터베이스 생성
X-Ways Forensics에서 해시를 통한 특정 파일 검색이 가능합니다.
먼저 분석 대상 파티션은 볼륨 스냅샷이 실행 된 상태에서 오른쪽 마우스 클릭 후
[Explore Recursively] 버튼을 클릭합니다.
해시 데이터베이스 생성
볼륨 스냅샷 단계에서 [ Compute Hash ] 작업이 성공적으로 끝났다면
파티션 내 모든 파일들의 해시 값이 계산 된 상태를 확인할 수 있습니다.
해시 데이터베이스 생성
해시 분석을 위해서는 해시 데이터베이스를 생성해야 하므로
상단 [ Tools ] 메뉴 클릭 후 [ Hash Database ] 버튼을 클릭합니다.
해시 데이터베이스 생성
해시 데이터베이스 등록을 위해서는 특정 포맷으로 해시 값을
목록화 한 텍스트 파일을 [ Import ] 버튼을 클릭하여 등록할 수 있습니다.
해시 데이터베이스 생성
해시 값을 목록화 한 텍스트 파일은 아래 형식으로 작성해야 합니다.
해시 목록 파일 형식
-
1. 알고리즘 지정
- X-Ways에서 지원하는 해시 알고리즘을 지정합니다. [ 예 : MD5, SHA-1, SHA-256 등 ]
-
2. 해시 값 입력
- 위 지정한 해시 알고리즘으로 된 해시 값을 지정합니다.
해시 데이터베이스 생성
위 과정을 통해 생성 된 텍스트 파일을 [ Import ] 기능을 통해 등록합니다.
해시 데이터베이스 생성
해시 데이터베이스 등록 시 해당 해시 값의 카테고리를 지정합니다.
해시 카테고리 지정
-
1. Irrelevant / known good / harmless / ignorable
- 해당 목록의 해시 값들을 화이트리스트 관리합니다. [ 예 : 시스템 파일, 클린 파일, 증거 조사 대상 파일 등 ]
-
2. uncategorized
- 특정한 카테고리를 지정하지 않습니다.
-
3. notable / known bad / malicious / relevant
- 해당 목록의 해시 값들을 블랙리스트로 관리합니다. [ 예 : 악성 코드, 유해 파일, 애드웨어, 바이러스 등 ]
해시 데이터베이스 생성
해시 카테고리를 지정하면 위와 같이 해시 데이터베이스가 생성됩니다.
해시 데이터베이스 생성
등록 된 해시 데이터베이스를 통해 해시 분석을 위해 볼륨 스냅샷 기능을 실행합니다.
해시 데이터베이스 생성
볼륨 스냅샷 설정 내 [ Compute Hash ] 하위 [ Match hash values against hash database(s) ] 옵션을 체크합니다.
해시 데이터베이스 생성
위 옵션을 체크하면 해시 분석 시 해시 데이터베이스를 이용하게 되는데 이 때, 이전에 설정했던 해시 데이터베이스를 선택합니다.
해시 데이터베이스 생성
볼륨 스냅샷 분석이 끝나면 해시 데이터베이스에 매칭 된 파일들은
아래와 같이 [ Hash Set ] 필터에 해시 데이터베이스 이름이 매칭되는 것을 확인할 수 있습니다.
