※ 본 포스팅은 PLAINBIT의 X-Ways Forensics 강의를 듣고 요약, 작성한 글입니다.
안녕하세요. 디지털 포렌식 프로그램으로 널리 알려진 X-Ways 사의 X-Ways Forensics 프로그램의 사용법 관련해서 포스팅을 쭉 해보려고 합니다.
이번 첫 포스팅에서는 X-Ways Forensics 프로그램에 대한 간단한 소개를 위주로 작성해보겠습니다.
X-Ways Forensics는 독일의 X-Ways 사에서 개발한 디지털 포렌식 소프트웨어 입니다.
그 외 X-Ways 사의 널리 알려진 프로그램에는 WinHex가 있습니다.
X-Ways.net에서 X-Ways Forensics 제품을 비롯하여 WinHex, X-Ways Inverstigator, X-Ways Imager, F-Response의 제품들을 구매할 수 있습니다.
X-Ways Forensics 제품에 Imaging, Investigator 의 기능을 다 포함하고 있어서 X-Ways Forensics만 구입해도 괜찮을 것 같습니다.
하지만 X-Ways Forensics로는 원격 작업이 어렵기 때문에, 원격 작업을 할 수 있는 F-Response는 별도로 필요할 것 같습니다.
예전에 파일시스템 기반의 도구들이 유행할 때에는 EnCase나 FTK와 같은 프로그램들을 많이 사용을 했습니다.
이러한 제품들은 GUI에 힘을 주다보니 도구가 무거워지는 경향이 있는데 X-Ways사의 프로그램은 인터페이스가 단순하여 도구 자체가 시스템의 자원을 비교적 덜 잡아먹기 때문에 가볍습니다.
디지털 포렌식 프로그램이 제공해주는 분석 결과만을 보고 싶다면 X-Ways Forensics는 큰 도움이 되지 못할 수 있지만, 분석 자체를 깊게하고 싶거나 Raw 데이터의 구조를 쉽게 확인하고 싶을 때 유용하게 사용할 수 있을 것입니다.
프로그램의 UI는 위와 같습니다. 정말 WinHex에다가 포렌식 기능만 추가로 얹어놓은 듯한 형태를 가지고 있습니다.
인터페이스가 정말 딱딱하고 친해지기 어렵게 생겼네요. 하지만 그 만큼 가볍다는 것입니다.
도구를 사용하기 위해서는 비용을 지불해서 라이센스를 구입해야 하며 불법 복제를 막기 위해 동글 키를 필요로 하고 있습니다.
EnCase 자격증으로 EnCE가 있듯이, X-Ways Forensics 관련 자격증으로는 X-PERT가 있습니다.
프로그램의 장,단점 요약
- 장점 : 우수한 파일 복구 기능, 컴퓨터 자원 소모가 타 프로그램에 비해 낮음
- 단점 : 한 눈에 들어오지 않는 인터페이스, 전체적인 분석 결과를 보기에는 조금 부족한 느낌(개인적인 의견입니다)
- 장점이자 단점 : 너무 많은 옵션
X-Ways Forensics 프로그램의 주요 기능
- 디스크 복제 및 이미징 지원
- RAW, ISO, VHD, VMDK 이미지 파일 해석 지원
- 최대 8KB 섹터 지원, 2TB이상 디스크, 일부 RAID 구조 지원
- FAT, NTFS, XFS, UFS1/2, APFS 등 다양한 파일 시스템 지원
- 강력한 물리적, 논리적 검색 지원
- 다양한 데이터 복구 지원
- F-Response를 이용한 원격 시스템 분석 지원
X-Ways forensics 참고자료
http://www.x-ways.net/winhex/manual.pdf
http://www.xwaysclips.co.uk
http://www.x-ways.net/forensics/XWFQuickStart.pdf
다음 포스팅부터는 실제 프로그램 사용에 대해 알아보도록 하겠습니다.