Windows INDX Slack Parser (WISP)
둘러보기로 가기
검색하러 가기
소개[편집]
Windows INDX Slack Parser은 CLI 기반이며 Windows, Mac, Linux에서 사용 가능하다. NTFS으로 포맷 된 vmdk파일, dd이미지파일, 로컬 드라이브를 입력하여 slack 영역의 INDX와 관련된 부분을 파싱하여 CSV, XML 파일 형태로 파싱 결과를 출력할 수 있다.
사용법[편집]
Command 창을 관리자 권한으로 실행하여 “wisp -partition c -path c:\$Recycle.Bin -level 2 -all -csv > results1.csv” 와 같은 문법으로 사용한다. Command 옵션은 [표 1]과 같다.
| 옵션 | 추가사항 | 설명 |
|---|---|---|
| -partition | 로컬 또는 마운팅 된 드라이브 입력 -partition <drive letter> | |
| -drivenum | .. | 마운트 된 디스크 -drivenum <#> -offset <volume offset> |
| -vmdk | .. | NTFS로 포맷된 VMWare파일 입력 -vmdk <disk name> <volume offset> |
| -image | .. | dd 이미지 입력 -image <filename> -offset <volume offset><volume offset> |
| -xml | xml 파일포맷으로 결과 출력 | |
| -csv | csv 파일포맷으로 결과 출력 | |
| -csvl2t | log2timeline 형식에 맞추어 결과 출력 | |
| -bodyfile | 슬러시킷에서 소개한 'body-file' version3 형식에 맞추어 결과 출력 | |
| -base10 | 사이즈, 주소를 헥사 시간이 아닌 10진수 형태로 출력 | |
| -mft | .. | Index metadata 파싱 -mft <MFT entry to analyze> |
| -path | Index 엔트리가 존재하는 폴더 파싱 -path <directory to analyze> | |
| -valid | 오직 index 엔트리에서만 추출 | |
| -slack | .. | 오로지 슬랙 영역에서만 추출 |
| -all | .. | index 엔트리, 슬랙 영역에서 추출 |
| -indxfile | .. | 다른 tool에 의해 수집한 INDX파일 파싱 -indxfile <datafile name;> |
| -nodups | 중복 제거 | |
| -username | 특정한 유저 네임만 출력 -username <name to use> | |
| -hostname | 특정한 호스트 네임만 출력 -hostname <name to use> | |
| -indx | 결과파일에 INDX타입 레코드를 포함시킴 | |
| -objjd | 결과파일에 존재할 경우 object ID를 포함 | |
| -filepath_only | 결과파일에 path/file을 포함 -recurse 필수 | |
| -no_whitespace | .. | 공백 없이 csv 퍼알포맷으로 출력 -csv 필수 |
| -csv_separator | .. | csv의 구분자 변경 -csv_separator <separator> |
| -dateformat | .. | 날짜 출력 형식 변경 (default : -dateformat "mm/dd/yyyy") |
| -timeformat | .. | 시간 출력 형식 변경 (default : -timeformat "hh:mm:ss.xxx") |
| -quiet | .. | 프로그램 진행 상태를 출력 안 함 |
| -hexdump | .. | 데이터 파싱 후 hex덤프 저장 |
도구 기능[편집]
Windows INDX Slack Parser은 Slack영역에서 이미지 또는 라이브시스템의 slack 영역 또는 INDX Entry를 검색해 NTFS Log파일 중 $MFT파일을 찾아 파일을 파싱하고 한글 깨짐 없이 CSV, XML 형식으로 결과를 출력해준다. CSV 파일 포맷으로 결과 출력 시 구분자를 지정해 줄 수 있고 날짜, 시간 출력 형식을 원하는 형태로 출력할 수 있다. 시간 정보의 경우 결과 출력 후 한국 시간에 맞추기 위해 +9 시간을 해주어야 한다.
수사 활용 방안[편집]
Windows INDX Slack Parser은 로컬, 마운팅 된 드라이브, Vmdk 이미지, dd이미지를 Windows, Mac, Linux와 같은 다양한 환경에서 slack영역을 및 INDX 엔트리에서 원하는 방식으로 $MFT 파일을 파싱할 수 있다.
