X-Ways Forensics

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

[그림 1] X-Ways Forensics 실행화면

X-Ways Forensics는 X-Ways 社에서 만든 통합 포렌식 도구이며 Windows 환경에서 실행 가능하다. 상용 소프트웨어로 공식홈페이지 기준 €1199(약 168만원)에 구입 가능하다. 지원 하는 기능으로써 대표적인 기능은 아래와 같다.

  • Disk cloning, disk imaging
  • RAM editor
  • Analyzing files
  • Wiping confidential files or disks
  • Wiping unused space and slack space
  • ASCII o EBCDIC conversion
  • Binary, Hex ASCII, Intel Hex, and Motorola S conversion
  • Unifying and dividing odd and even bytes/words
  • Conveniently editing data structure
  • Splitting files that do not fit on a disk
  • WinHex as a reconnaissance and learning tool
  • Finding interesting values (e.g. the number of lives, ammunition, etc.) in saved game files
  • Manipulating saved game files
  • Upgrading MP3 jukeboxes and Microsoft Xbox with larger hard drive
  • Manipulating text
  • Viewing and manipulating files that usually cannot be edited
  • Viewing, editing, and repairing system areas
  • Data recovery


X-Ways Forensics 의 실행화면은 [그림 1]와 같다.



사용법

[그림 2] 새로운 케이스 생성
[그림 3] 케이스 생성 시 설정
[그림 4] 분석 대상 추가
[그림 5] 케이스 분석 화면
[그림 6] 파일 및 디렉터리 추출
[그림 7] Explorer recursively mode

프로그램 실행 후 [그림 2]와 같이 왼쪽의 ‘Case Data’ 탭의 File 메뉴에서 ‘Create New Case’를 눌러 케이스를 생성한다. 이후 ‘Properties’ 대화상자에서 케이스 설정을 한다. ‘Create New Case’ 클릭 후 ‘Properties’ 대화상자에서는 케이스에 대한 상세 설정을 한다. [그림 3]과 같이 케이스 이름, 조사관 이름, 케이스에 대한 설명과 로깅 정보, 언어설정 등이 가능하다.

케이스를 생성 후 분석 대상 증거 파일 및 메모리 덤프, 이미지 파일을 추가하기 위해 [그림 4]와 같이 분석 대상의 종류에 맞는 메뉴를 선택한다. 분석 대상이 되는 파일 확장자는 dd, img, ctr, e01, vhd, vmdk, 001이 있다. 분석 대상될 증거 파일을 추가하면 [그림 5]과 같은 화면이 나타난다. ‘(1)’은 대상 이미지 파일의 디렉터리 구조를 트리 형식으로 출력하는 창이며 ‘(2)’는 ‘(1)’에서 선택한 디렉터리의 서브 디렉터리 및 파일을 출력하는 창이다. ‘(3)’은 파일 및 디렉터리 선택 시 해당 파일의 메타데이터(MFT Entry, Directory Entry, Inode 등)를 16진수로 출력해주는 창이다. 분석 대상 이미지에서 특정 파일 및 디렉터리를 추출하는 방법은 [그림 6]와 같다. 추출하고자 하는 파일 및 디렉터리의 오른쪽에 있는 체크박스를 선택 한 뒤, 우클릭하여 ‘Recover/Copy...’을 선택하면 선택한 파일을 저장할 경로를 지정하는 창이 나타난다. 경로를 지정하여 ‘OK’ 버튼을 클릭하면 선택한 파일을 추출할 수 있다.

[그림 7]는 이미지 파일에 저장되어 있는 모든 파일을 트리 형태가 아닌 목록 형태로 보여주는 기능인 ‘Explorer recursively’를 사용한 예시 화면이다. 다시 트리 형태로 보기 위해서는 이미지를 클릭하면 된다.



도구 기능

지원 운영체제 및 사용

X-Ways Forensics는 Windows 환경에서 동작하며 X-Ways Software Technology AG 社에서는 권장사양의 환경에서 구동할 것을 권고하고 있다. 지원 운영체제 및 하드웨어 요구 사항은 [표 1]와 같다.

[표 1] 지원 최소사양 및 권장사양
시스템 요구 사양
CPU Dual Core processor
Quad Core processor (권장)
RAM 512 MB RAM (최소 사양)
4 GB RAM (32-bit computer)
4 GB 이상 RAM (권장 사양)
Disk 운영체제 드라이브 : SATA 7200 RPM 성능의 하드디스크
증거 저장 드라이브 : SATA 7200 RPM 성능의 하드디스크
증거 백업 드라이브 : SATA 7200 RPM 성능의 하드디스크
OS Windows XP Professional
Windows Server 2003 Standard
Windows Server 2008 R2 Standard
Windows Vista
Windows 7 (32-bit)
[64-bit 운영체제 권장]
Windows 7 (64-bit) (권장 운영체제)
Windows 8
Windows 8.1
Windows Server 2012
Windows Server 2012 R2





이미지 생성

[그림 8] 'Create Disk Image' 메뉴
[그림 9] 'Create Disk Image' 옵션 창
[그림 10] 이미징 진행 모습

[그림 8]은 물리적 디스크 또는 논리적 파티션을 이미징하기 위한 메뉴이다. 이미징 대상이 되는 파티션 또는 드라이브 장치를 선택하고 ‘OK’버튼을 누른다.

[그림 9]은 생성할 이미지에 대한 옵션을 지정하는 창이다. 이미지의 포맷, 저장 경로 지정 및 간략한 설명을 추가할 수 있으며 이미지 파일 분할 크기를 지정할 수 있다. ‘OK’ 버튼 클릭 후 이미징을 시작한다.

[그림 10]은 선택한 파티션 및 드라이브 장치를 대상으로 이미징을 진행 중인 화면이다.



케이스 생성

[그림 11] 새로운 케이스 생성
[그림 12] 케이스 생성 시 설정

[그림 11]는 X-Ways를 실행 후 케이스를 생성하는 메뉴이다. File 탭 선택 후 “Create New Case“를 선택하면 [그림 12]과 같이 ’Properties’ 창이 나타난다. 해당 창에서 케이스 이름, 저장 경로, 간략한 설명을 추가한 후 ’OK’ 버튼 클릭 시 케이스가 생성된다.



케이스 저장

[그림 13] 케이스 저장

[그림 13]은 케이스를 저장하기 위한 메뉴 선택 모습이다. 케이스 생성 시 지정했던 저장경로에 자동으로 케이스 파일이 저장되며 케이스 저장 후 결과를 간략히 설명해주는 창이 나타난다.



증거 컨테이너 파일

[그림 14] 컨테이너 파일 생성
[그림 15] Container File Controller
[그림 16] 컨테이너 파일에 증거 파일 추가
[그림 17] 컨테이너 파일 추가

X-Ways는 증거 파일 및 디렉터리를 수집하여 컨테이너 파일이라는 하나의 이미지 파일로 저장할 수 있다. [그림 14]는 컨테이너 파일을 생성하는 화면이다.

[그림 15]은 컨테이너 파일을 생성할 경로를 지정해준 뒤 나타나는 ’Container File Controller’ 창이다. 간략한 설명을 부가적으로 입력한 뒤 ‘OK’ 버튼을 클릭하면 컨테이너 파일이 생성되며 선택한 파일을 컨테이너 파일로 복사할 수 있다. [그림 16]는 사용자가 임의로 선택한 파일을 미리 생성한 컨테이너 파일에 추가하는 화면이다. 컨테이너 파일을 생성하거나 열람 후 우클릭 시 메뉴에서 ‘Add to Container File’ 이라는 항목이 추가된다. ‘Add to Container File’을 선택하면 컨테이너에 추가할 파일을 어떠한 형식(Copy logical file contents only, File and slack separately, Copy slack only, Copy metadata only)으로 저장할 지 선택한 후 ‘OK’ 버튼을 클릭하면 컨테이너 파일에 원하는 파일 및 디렉터리를 추가할 수 있다.

[그림 17]는 앞서 생성한 컨테이너 파일을 케이스에 추가한 모습이다. 앞서 컨테이너 파일에 추가하였던 파일을 확인할 수 있다.





필터링

[그림 18] 필터링 기능 추가

[그림 18]은 사용자가 설정한 조건에 맞는 파일만 출력하는 필터링 기능을 실행한 화면이다. [그림 18]과 같이 그림 파일들만 출력하도록 설정 시 그림 파일로 판단된 파일만을 창에 출력한다. 이 기능은 앞서 설명한 ’Explorer recursively’ 기능과 함께 사용할 수 있다. 확장자 필터링 이외에도 파일 이름, 경로, 크기, MAC 시간 정보 등의 조건을 선택하여 필터링할 수 있다.



키워드 검색

[그림 19] 키워드 검색 기능

[그림 19]은 키워드 검색 기능인 ‘Simultaneous Search’ 메뉴를 실행한 화면이다. ‘Simultaneous Search’ 창이 나타나면 왼쪽 빈 칸에 키워드를 입력하고 몇 가지 옵션을 선택하면 분석 대상 파일 및 이미지 파일 내에서 키워드와 일치하는 문자열을 탐색한다.



보고서 출력

[그림 20] 보고서 항목 추가 방법
[그림 21] 보고서 항목별 파일 및 디렉터리 추가 방법
[그림 22] 보고서 파일 생성 방법
[그림 23] 'Report.html' 출력

[그림 20]은 보고서 출력 시 출력될 항목을 추가하기 위한 과정을 설명한 그림이다. 먼저 마우스 오른쪽 버튼을 누르고 ‘Report table associations...’ 메뉴를 선택한다. ’Report table associations’ 창이 나타나면 좌측 하단에 있는 ’New...’ 버튼을 클릭하여 보고서에 추가할 항목을 지정하는 창이 나타나고 이후 사용자가 임의로 항목 이름을 지정할 수 있다. [그림 20]은 단축키가 ‘Ctrl + 1’인 ’Test’ 항목을 추가한 화면이다. [그림 21]는 이후 보고서에 추가할 파일의 내용을 항목별로 분류한 화면이다. 파일을 선택하여 항목별 단축키를 입력하면 [그림 21]와 같이 연두색 삼각형이 표시 된다.

[그림 22]은 보고서를 생성하는 화면이다. 원하는 파일을 항목별로 분류한 뒤, ‘Create Report...’를 선택하면 ‘Report (Options)’ 창이 나타난다. ‘Report (Options)’ 창에서 보고서에 추가할 필드를 선택하거나 삽입할 로고 등을 입력하여 ’OK’ 버튼을 클릭하면 ‘Report.html’ 파일을 저장할 경로를 지정하는 창이 나타난다. 이후 ‘Report.html’ 파일을 저장할 경로를 선택하면 보고서를 저장 완료 확인 창이 나타난다.

[그림 23]은 보고서 생성 기능에 의해 만들어진 ’Report.thml’ 파일을 열람한 화면이다. 기본적으로 분석 대상 이미지의 정보를 파티션별로 출력해 주며, 사용자가 설정한 보고서 항목 별로 분류된 파일 및 디렉터리의 정보를 출력해 준다.



제한 사항

X-ways Forensics는 Windows 환경에서 구동되며 운영체제 지원은 Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7, Windows 8, Windows 8.1 과 같은 대부분의 Windows 환경을 지원하고 32비트 및 64 비트 환경을 지원한다. 저 사양에서도 구동되는 도구이지만 논리 · 물리 드라이브에 대한 분석은 지원하지 않고 매체의 이미지 파일에 대한 분석을 지원한다.



수사 활용방안

매체의 이미징부터 물리메모리 분석까지 대부분의 환경에서 활용 가능한 도구이며 수집한 아티팩트를 추출 및 저장, 리포팅 기능을 제공한다. 통합 포렌식 도구 중 구동 환경 사양이 가장 낮으며 별도의 설치 절차 없이 포터블하게 실행할 수 있다. 그러나 제공하는 기능이 다른 도구와 비교하여 제한적이며 Hex View 중심의 프로그램이기 때문에 수사관의 도구 활용 능력의 많은 숙련이 요구된다.