관심 세미나 등록

원하시는 세미나를 사전 등록하시면
세미나 오픈시 우선적으로 자동 신청되어 알려드립니다.

* 세미나 개최는 신청자가 많은 순으로 결정됩니다.

입사 지원

인섹시큐리티에서는 신입/경력부문 상시채용과 공개채용 방식을 같이 진행하고 있습니다
제출한 이력서 기반으로 지원자격 심사평가를 진행합니다.

X-Ways Forensics

공인 교육센터

해시 분석 [ by 김종광 ]

해시 데이터베이스 생성
X-Ways Forensics에서 해시를 통한 특정 파일 검색이 가능합니다.
먼저 분석 대상 파티션은 볼륨 스냅샷이 실행 된 상태에서 오른쪽 마우스 클릭 후
[Explore Recursively] 버튼을 클릭합니다.

해시 데이터베이스 생성
볼륨 스냅샷 단계에서 [ Compute Hash ] 작업이 성공적으로 끝났다면
파티션 내 모든 파일들의 해시 값이 계산 된 상태를 확인할 수 있습니다.

해시 데이터베이스 생성
해시 분석을 위해서는 해시 데이터베이스를 생성해야 하므로
상단 [ Tools ] 메뉴 클릭 후 [ Hash Database ] 버튼을 클릭합니다.

해시 데이터베이스 생성
해시 데이터베이스 등록을 위해서는 특정 포맷으로 해시 값을
목록화 한 텍스트 파일을 [ Import ] 버튼을 클릭하여 등록할 수 있습니다.

해시 데이터베이스 생성
해시 값을 목록화 한 텍스트 파일은 아래 형식으로 작성해야 합니다.

해시 목록 파일 형식

  • 1. 알고리즘 지정

    - X-Ways에서 지원하는 해시 알고리즘을 지정합니다. [ 예 : MD5, SHA-1, SHA-256 등 ]

  • 2. 해시 값 입력

    - 위 지정한 해시 알고리즘으로 된 해시 값을 지정합니다.

해시 데이터베이스 생성
위 과정을 통해 생성 된 텍스트 파일을 [ Import ] 기능을 통해 등록합니다.

해시 데이터베이스 생성
해시 데이터베이스 등록 시 해당 해시 값의 카테고리를 지정합니다.

해시 카테고리 지정

  • 1. Irrelevant / known good / harmless / ignorable

    - 해당 목록의 해시 값들을 화이트리스트 관리합니다. [ 예 : 시스템 파일, 클린 파일, 증거 조사 대상 파일 등 ]

  • 2. uncategorized

    - 특정한 카테고리를 지정하지 않습니다.

  • 3. notable / known bad / malicious / relevant

    - 해당 목록의 해시 값들을 블랙리스트로 관리합니다. [ 예 : 악성 코드, 유해 파일, 애드웨어, 바이러스 등 ]

해시 데이터베이스 생성
해시 카테고리를 지정하면 위와 같이 해시 데이터베이스가 생성됩니다.

해시 데이터베이스 생성
등록 된 해시 데이터베이스를 통해 해시 분석을 위해 볼륨 스냅샷 기능을 실행합니다.

해시 데이터베이스 생성
볼륨 스냅샷 설정 내 [ Compute Hash ] 하위 [ Match hash values against hash database(s) ] 옵션을 체크합니다.

해시 데이터베이스 생성
위 옵션을 체크하면 해시 분석 시 해시 데이터베이스를 이용하게 되는데 이 때, 이전에 설정했던 해시 데이터베이스를 선택합니다.

해시 데이터베이스 생성
볼륨 스냅샷 분석이 끝나면 해시 데이터베이스에 매칭 된 파일들은
아래와 같이 [ Hash Set ] 필터에 해시 데이터베이스 이름이 매칭되는 것을 확인할 수 있습니다.