X-Ways Forensics - (2) About X-Ways Forensics

굉장히 오랜만에 본 카테고리에 글을 이어서 쓰게 되었습니다. 다름 아니라 정말 오랜만에 공부를 좀 할까 하는 생각이 들었고, X-PERT 자격증에 도전해볼 겸 XWF의 매뉴얼을 정독하면서 천천히 공부해보고자 합니다.

XWF의 매뉴얼은 약 270 페이지 정도 되는데요, 틈 날 때마다 조금씩 읽으면서 블로그에 정리해보고자 합니다.

---

1. 서문

1.1 WinHex와 X-Ways Forensics에 대하여

Copyright © 1995-2025 Stefan Fleischmann, X-Ways Software Technology AG. All rights reserved.

X-Ways Software Technology AG	Web: https://www.x-ways.net/
Carl-Diem-Str. 32	Retrieve quotes and purchase from:
32257 Bünde	https://www.x-ways.net/order.html
Germany	E-mail address: mail@x-ways.com

Registered in Bad Oeynhausen (HRB 7475). CEO: Stefan Fleischmann. Board of directors (chairwoman): Dr. M. Horstmeyer.

X-Ways Software Technology AG는 독일 연방 공화국 법률에 따라 설립된 주식회사입니다. WinHex는 1995년에 처음 출시되었습니다.

이 소프트웨어는 다음에서 다양한 수준으로 실행할 수 있습니다.

• Windows 7/Server 2008 R2
• Windows 8/8.1/Server 2012
• Windows 10/Server 2016/Server 2019/Server 2022
• Windows 11/Server 2025(32비트 및 64비트, Standard, PE 및 FE 버전)

또한 Windows XP, Windows 2003 Server, Windows Vista/Server 2008에서도 제한적으로 실행될 수 있습니다. 일부 기능은  Linux+Wine 환경에서도 사용 가능합니다. 하지만 일부 복사 방지 방법(동글 포함)은 Linux+Wine 환경에서 전혀 작동하지 않습니다.

---

1-2. 라이센스 유형

Personal

개인 라이선스는 비상업적 용도로만 사용 가능하며, 사업체, 기관, 정부 기관이 아닌 환경에서 할인된 가격으로 제공됩니다.

Professional

해당 라이선스를 사용하면 가정, 회사, 기관 또는 공공 기관 등 모든 환경에서 소프트웨어를 사용할 수 있습니다. 전문가용 라이선스는 스크립트 실행 기능도 제공합니다.

Specialist License

해당 라이선스를 사용하면 전문가 메뉴 명령을 이용하고, exFAT, Ext2, Ext3, Ext4, CDFS/ISO9660, UDF 파일 시스템을 읽을 수 있으며, 드라이브의 여유 공간과 슬랙 공간을 강조 표시하고, RAID 재구성, Windows 동적 디스크, Linux LVM2를 지원하고, 디렉터리 브라우저에 더 많은 열을 표시하고, 디스크 복제/이미징을 되돌릴 수 있습니다. 특히 IT 보안 전문가에게 유용합니다.

WinHex Lab Edition

HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, BtrFS(LVM2 또는 RAID 구성을 통한 다중 디스크 지원, 단 BtrFS 다중 장치 구성은 지원하지 않음), UFS1, UFS2, APFS(암호화되지 않음), QNX 파일 시스템을 지원하며, 증거 파일 컨테이너 생성 및 일반 X-Tension 실행을 허용합니다.

X-Ways Forensics

를 사용하면 위에 명시된 기능 외에도 강력한 사례 관리 및 보고서 생성 기능, 내장 뷰어 및 별도 뷰어 구성 요소, 갤러리 보기, 더욱 세분화된 볼륨 스냅샷 작업, 디렉터리 브라우저의 더 많은 열과 필터(열 순서 변경 가능), 주석 및 레이블을 사용할 수 있습니다. 게다가 이 프로그램들은 증거 파일(.e01)을 읽고 쓸 수 있게 해주고, SquashFS 파일 시스템(GZIP/zlib, LZMA, LZO 또는 XZ 기반)을 탐색할 수 있게 해주는 등 훨씬 더 많은 기능을 제공합니다! 특히 컴퓨터 포렌식 조사관에게 매우 유용합니다.

X-Ways Investigator

X-Ways Forensics의 간소화된 버전입니다. X-Ways Forensics의 모든 기능은 물론 WinHex의 모든 기능까지 포함하고 있지는 않습니다. X-Ways Forensics 사용자는 X-Ways Forensics의 사용자 인터페이스를 X-Ways Investigator의 인터페이스로 일시적으로 축소하여 사용해 볼 수 있으며, 이를 통해 X-Ways Investigator 라이선스를 추가로 구매하여 조사 업무를 여러 사용자(비기술직 포함)에게 분산시키는 것이 조직에 도움이 될지 판단할 수 있습니다. X-Ways Investigator는 사실상 독립형 제품으로 설계된 것은 아닙니다.

텍스트 표시에서 동시에 사용할 수 있는 문자 세트의 최대 개수는 라이선스 유형에 따라 다릅니다(보기 메뉴 참조). 라이선스 유형에 대한 자세한 비교 정보는 http://www.x-ways.net/winhex/comparison.html 에서 확인하실 수 있습니다. 라이선스 주문 방법은 http://www.x-ways.net/order.html 을 참조하십시오. 감사합니다.

---

1-3. WinHex와 X-Ways Forensics의 차이

WinHex(주 실행 파일은 winhex.exe 또는 winhex64.exe)는 사용자 인터페이스에서 항상 WinHex로 표시되고, X-Ways Forensics(주 실행 파일은 xwforensics.exe 또는 xwforensics64.exe)는 X-Ways Forensics로 표시됩니다. 하지만 공유 프로그램 도움말과 공유 설명서에서는 대부분 "WinHex"라는 이름을 고정적으로 사용하며, 경우에 따라 "X-Ways Forensics"라고 표기하기도 합니다.

WinHex와 X-Ways Forensics는 동일한 코드 기반을 공유합니다. X-Ways Forensics는 전문가 라이선스를 통해 WinHex보다 다양한 추가 포렌식 기능을 제공하지만, 디스크 섹터 또는 해석된 이미지를 편집할 수 없으며 WinHex에서 알려진 데이터 삭제 기능들이 부족합니다.

X-Ways Forensics에서는 디스크, 해석된 이미지 파일, 가상 메모리 및 물리적 RAM이 엄격하게 보기 모드(읽기 전용)로만 열려 있어 증거가 조금이라도 변경되어서는 안 되는 포렌식 절차를 시행합니다. X-Ways Forensics의 이러한 엄격한 쓰기 방지 기능은 원본 증거가 실수로 변경될 가능성을 완전히 차단하며, 이는 법정 소송에서 매우 중요한 요소가 될 수 있습니다.

엄격한 포렌식 절차에 얽매이지 않거나 디스크 또는 이미지에 대해 보다 적극적인 작업이 필요한 경우(예: 부트 섹터 복구 또는 기밀 데이터나 관련 없는 데이터 삭제)에만 X-Ways Forensics 사용자는 WinHex를 실행합니다. WinHex를 사용하면 디스크 섹터를 편집하고 하드 디스크 전체, 여유 공간, 슬랙 공간, 선택한 파일, 선택한 디스크 영역 등을 삭제할 수 있습니다.

X-Ways Forensics 사용자는 xwforensics.exe 실행 파일을 복사하여 winhex.exe로 이름을 바꾸거나(64비트 버전의 경우 xwforensics64.exe 실행 파일을 복사하여 winhex64.exe로 이름을 바꾸면 됨) WinHex를 사용할 수 있습니다. 설치 프로그램이 이러한 복사본을 자동으로 생성합니다. 또는 복사본 대신 하드 링크를 생성할 수도 있습니다. 프로그램을 *winhex*.exe로 실행하면 사용자 인터페이스, 사건 보고서, 사건 로그, 이미지 설명 및 모든 스크린샷을 포함한 모든 곳에서 WinHex로 표시되고 WinHex처럼 작동합니다. 이 버전은 X-Ways Forensics의 모든 포렌식 기능과 WinHex의 섹터 편집 및 데이터 삭제 기능을 하나로 통합한 최상의 버전입니다.

---

1.4 X-Ways Forensics를 시작해봅시다

X-Ways Forensics 다운로드 파일의 압축을 원하는 디렉터리에 해제하세요. 설치 프로그램을 이용한 설치가 꼭 필요하지는 않습니다. 이 프로그램은 휴대용이므로 USB 드라이브에서 직접 실행하여 다른 컴퓨터(예: 검사하려는 실제 시스템)에서도 사용할 수 있습니다.

또한 Viewer Component도 별도로 다운로드하세요(이 구성 요소는 업데이트 빈도가 훨씬 낮아 표준 다운로드에 포함되어 있지 않습니다). XWays Forensics 64비트 버전을 사용하려면 뷰어 구성 요소의 64비트 버전을 사용하세요 . 기본적으로 뷰어 구성 요소는 하위 디렉터리 \viewer(32비트) 또는 \x64\viewer(64비트)에 있어야 합니다. 뷰어 구성 요소는 X-Ways Forensics와 달리 현재 로그인한 사용자의 프로필에 파일을 생성하므로, 검사 중인 시스템에 파일이 생성되는 것을 방지하려면 X-Ways Forensics에서 뷰어 구성 요소를 사용하지 않도록 설정하세요.

X-Ways Forensics에서 동영상에서 스틸 이미지를 추출하여 갤러리에서 보려면 MPlayer를 다운로드하는 것이 좋습니다. 최신 버전은 이전 버전의 디렉터리에 압축을 풀 수 있습니다. 이전 버전의 WinHex.cfg 구성 파일을 최신 버전에서 계속 사용할 수 있습니다(단, 반대로는 불가능합니다).

X-Ways Forensics 또는 X-Ways Investigator의 휴대용 설치 파일과 해당 아이콘을 특정 컴퓨터의 .xfc 케이스 파일과 연결하려면, 해당 애플리케이션을 관리자 권한으로 최소 한 번 실행한 다음, 사용자 지정 가능한 표준 경로 중 하나가 Windows 설치 드라이브와 동일한 드라이브 문자에 있을 때 애플리케이션을 종료하면 됩니다. 이렇게 하면 애플리케이션이 사용자가 해당 Windows 시스템의 소유자이며 데이터가 시스템에 기록되는 것을 허용한다는 것을 인식하게 됩니다. 이는 애플리케이션을 실행하는 경로, 케이스 파일을 생성하고 저장할 경로, 이미지 파일을 생성하고 저장할 경로 또는 임시 파일을 생성하는 경로일 수 있습니다.

다음은 시작하는 데 도움이 되는 몇 가지 지침과 주요 기능을 찾는 방법입니다. 사건을 생성하고 증거 개체(예: 사용자 자신의 C: 드라이브 또는 하드 디스크 0, 또는 이미지 파일)를 추가하세요. 디렉터리 트리에서 마우스 오른쪽 버튼을 클릭하면 디렉터리 브라우저에서 해당 디렉터리와 그 하위 디렉터리의 내용을 나열할 수 있습니다. 예를 들어, 볼륨의 루트 디렉터리를 마우스 오른쪽 버튼으로 클릭하면 해당 볼륨에 있는 모든 파일 목록이 표시됩니다. 동시에 옵션 > 디렉터리 브라우저를 통해 특정 파일 이름, 파일 형식, 크기 또는 특정 타임스탬프 등을 기준으로 파일을 필터링하여 검색할 수도 있습니다.

강력한 논리 검색 기능은 동시 검색에서 찾을 수 있습니다. X-Ways Forensics의 더욱 흥미로운 기능은 디렉터리 브라우저의 컨텍스트 메뉴(예: 이미지에서 파일 복사)와 전문가 메뉴, 특히 "Refine Volume Snapshot"에서 찾을 수 있습니다. 후자는 파일을 자동으로 추가 처리할 수 있도록 해줍니다. 예를 들어, ZIP 압축 파일 탐색, 이메일 메시지 및 첨부 파일 추출, 사진의 피부톤 확인, 문서 암호화 여부 확인 등이 가능합니다.

X-Ways Forensics는 수천 가지 용도로 사용될 수 있으므로, 단계별 지침(먼저 여기를 클릭하고, 그다음 저기를 클릭하고, 마지막으로 여기를 보세요)은 소프트웨어를 설명하는 올바른 방법이 아니라고 생각합니다. 이 프로그램 도움말/사용자 설명서는 사용 가능한 모든 기능을 정확하게 설명하고 사용자가 다양한 명령어를 창의적으로 조합하여 특정 목표를 달성할 수 있도록 돕기 위한 것입니다. 하지만 결국 사용자가 직접 생각하고, 자신이 무엇을 하고 있는지 이해하고, 결과를 해석해야 합니다.

특히 32비트 메모리 주소 공간이 부족할 수 있는 상황, 수백만 개의 파일이 포함된 디스크 또는 이미지 파일을 처리하는 경우, 또는 수백만 건의 검색 결과를 처리하는 경우(물리적 RAM 용량이 충분한 경우)에는 64비트 버전을 권장합니다. 또한, 계산 집약적인 작업(예: 해싱 또는 암호화)은 64비트 버전에서 더 빠르게 수행될 수 있습니다.