Windows INDX Slack Parser (WISP)

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

Windows INDX Slack Parser은 CLI 기반이며 Windows, Mac, Linux에서 사용 가능하다. NTFS으로 포맷 된 vmdk파일, dd이미지파일, 로컬 드라이브를 입력하여 slack 영역의 INDX와 관련된 부분을 파싱하여 CSV, XML 파일 형태로 파싱 결과를 출력할 수 있다.

사용법

Command 창을 관리자 권한으로 실행하여 “wisp -partition c -path c:\$Recycle.Bin -level 2 -all -csv > results1.csv” 와 같은 문법으로 사용한다. Command 옵션은 [표 1]과 같다.

[표 1] Windows INDX Slack Parser 명령어 옵션
옵션 추가사항 설명
-partition 로컬 또는 마운팅 된 드라이브 입력 -partition <drive letter>
-drivenum .. 마운트 된 디스크 -drivenum <#> -offset <volume offset>
-vmdk .. NTFS로 포맷된 VMWare파일 입력 -vmdk <disk name> <volume offset>
-image .. dd 이미지 입력 -image <filename> -offset <volume offset><volume offset>
-xml xml 파일포맷으로 결과 출력
-csv csv 파일포맷으로 결과 출력
-csvl2t log2timeline 형식에 맞추어 결과 출력
-bodyfile 슬러시킷에서 소개한 'body-file' version3 형식에 맞추어 결과 출력
-base10 사이즈, 주소를 헥사 시간이 아닌 10진수 형태로 출력
-mft .. Index metadata 파싱 -mft <MFT entry to analyze>
-path Index 엔트리가 존재하는 폴더 파싱 -path <directory to analyze>
-valid 오직 index 엔트리에서만 추출
-slack .. 오로지 슬랙 영역에서만 추출
-all .. index 엔트리, 슬랙 영역에서 추출
-indxfile .. 다른 tool에 의해 수집한 INDX파일 파싱 -indxfile <datafile name;>
-nodups 중복 제거
-username 특정한 유저 네임만 출력 -username <name to use>
-hostname 특정한 호스트 네임만 출력 -hostname <name to use>
-indx 결과파일에 INDX타입 레코드를 포함시킴
-objjd 결과파일에 존재할 경우 object ID를 포함
-filepath_only 결과파일에 path/file을 포함 -recurse 필수
-no_whitespace .. 공백 없이 csv 퍼알포맷으로 출력 -csv 필수
-csv_separator .. csv의 구분자 변경 -csv_separator <separator>
-dateformat .. 날짜 출력 형식 변경 (default : -dateformat "mm/dd/yyyy")
-timeformat .. 시간 출력 형식 변경 (default : -timeformat "hh:mm:ss.xxx")
-quiet .. 프로그램 진행 상태를 출력 안 함
-hexdump .. 데이터 파싱 후 hex덤프 저장



도구 기능

Windows INDX Slack Parser은 Slack영역에서 이미지 또는 라이브시스템의 slack 영역 또는 INDX Entry를 검색해 NTFS Log파일 중 $MFT파일을 찾아 파일을 파싱하고 한글 깨짐 없이 CSV, XML 형식으로 결과를 출력해준다. CSV 파일 포맷으로 결과 출력 시 구분자를 지정해 줄 수 있고 날짜, 시간 출력 형식을 원하는 형태로 출력할 수 있다. 시간 정보의 경우 결과 출력 후 한국 시간에 맞추기 위해 +9 시간을 해주어야 한다.

수사 활용 방안

Windows INDX Slack Parser은 로컬, 마운팅 된 드라이브, Vmdk 이미지, dd이미지를 Windows, Mac, Linux와 같은 다양한 환경에서 slack영역을 및 INDX 엔트리에서 원하는 방식으로 $MFT 파일을 파싱할 수 있다.