Loading
X-Ways Forensics - (3) Technical Background
DFIR Programs/X-Ways Forensics

X-Ways Forensics - (3) Technical Background

프로그램에서 지원하는 기술적 스펙에 대해 간략하게 살펴보겠습니다.

1. 속성 범례(Attribute Legend)

2. 프로그램 지원 스펙 사양

  • 대부분의 경우 진행률 표시에는 작업 완료율이 백분율로 표시됩니다. 하지만 검색 및 바꾸기 작업 중에는 현재 파일 또는 디스크에서의 상대적인 위치가 표시됩니다.
  • 암호화/복호화에 사용하는 키는 하드 디스크에 저장되지 않습니다. 해당 보안 옵션이 활성화된 경우, WinHex가 실행되는 동안 키는 RAM에 암호화된 상태로 저장됩니다.
  • 일반적으로 대소문자 구분 기능을 켜고 와일드카드를 사용하지 않을 때 검색 및 바꾸기 작업이 가장 빠르게 실행됩니다.
  • "count occurrences" 옵션을 활성화하여 검색하거나, 프롬프트 없이 바꾸기를 선택할 경우, 검색 알고리즘은 일반적으로 특정 항목이 발견되었을 때 두 가지 방식으로 동작할 수 있으며, 경우에 따라 결과가 다를 수 있습니다. 다음 예시를 통해 이를 설명합니다.

"Banana"라는 단어에서 "ana"라는 글자를 찾고 있습니다. 첫 번째 "ana"는 이미 두 번째 글자에서 발견되었습니다.

  • 1번 방안 : 알고리즘은 세 번째 문자에서 검색을 계속합니다. 따라서 'ana'는 네 번째 문자에서 다시 발견됩니다.
  • 2번 방안 : "바나나"라는 단어에 있는 세 글자 "ana"는 생략됩니다. 나머지 글자 "na"에는 더 이상 "ana"가 포함되지 않습니다.

WinHex는 두 번째 방식으로 프로그래밍되어 있는데, 이는 발생 횟수를 세거나 바꿀 때 더 합리적인 결과를 제공하기 때문입니다. 하지만 F3 키를 눌러 검색을 계속하거나 바꾸기 옵션에서 "prompt when found"를 선택하면 알고리즘은 첫 번째 방식을 따릅니다.

파일 헤더 시그니처 검색(File header signature searches), 블록 단위 해시 매칭(Block-wise hash matching), FILE 레코드 검색(FILE record searches), 손실된 파티션 검색(searches for lost partitions), 그리고 물리적 동시 검색(physical simultaneous searches)은 특정 압축 및 스파스(sparse) 형태의 .e01 증거 파일을 다룰 때 스파스 인식(sparse-aware) 방식으로 동작합니다.

이는 원본 하드디스크에서 한 번도 기록되지 않아 여전히 0으로 채워진 영역이나, 원본 디스크에서 삭제되었거나 클렌징된 이미지에서 의도적으로 제외된 영역들을 건너뛴다는 의미입니다. 따라서 이러한 영역들은 데이터를 읽거나, 압축을 해제하거나, 추가적인 처리(검색/해싱/블록 해시 데이터베이스와의 매칭)를 수행할 필요가 없기 때문에 거의 시간이 소요되지 않습니다.

스파스 인식(sparse-awareness)은 32KB, 128KB 또는 512KB 청크 크기로 X-Ways Forensics 및 XWays Imager에 의해 생성된 .e01 증거 파일에서 활성화될 수 있습니다. 또한 설정과 내부 구조에 따라 타사 소프트웨어로 생성된 이미지에서도 적용될 수 있습니다.

그러나 다음과 같은 경우에는 스파스 인식(sparse-aware) 방식이 적용되지 않습니다.

  • Windows 동적 디스크의 이미지
  • LVM2 디스크의 이미지
  • .e01 증거 파일을 기반으로 재구성된 RAID

NTFS 파일 시스템에 저장된 파일에 대한 논리적 검색과 인덱싱은 .e01 증거 파일 수준에서도 스파스 인식(sparse-aware) 방식으로 동작하며, 일반적으로 가상 “Free space” 파일에 대한 논리적 검색에서도 마찬가지입니다.

NTFS, Ext*, XFS, UFS 파일 시스템에서의 논리적 검색과 인덱싱은 파일 시스템 수준에서 스파스 인식(sparse-aware) 방식으로 동작합니다. 이는 스파스 파일(sparse file) 내부에 존재하는 큰 빈 영역들을 처리하는데 시간을 낭비하지 않는다는 의미입니다. 이러한 영역들은 증거 대상이 .e01 증거 파일이든, raw 이미지든, RAID든, 실제 디스크든 관계없이 모두 SKIP 됩니다.

 

 

저작자표시 비영리 변경금지 (새창열림)

'DFIR Programs > X-Ways Forensics' 카테고리의 다른 글

X-Ways Forensics - (2) About X-Ways Forensics  (0) 2026.03.22
X-Ways Forensics - (1) 프로그램 소개  (0) 2022.01.09

    티스토리툴바