티스토리 뷰

EnCase

X-Ways Forensics Tools 초간단 Review

YOURIFE 2009. 4. 20. 14:34
Computer Forensic 업계에서 최강의 분석/복구툴로 군림하는 EnCase와 뒤를 이어 선두자리 다툼을 하는 FTK(사실 그닥 좋지는 않은것 같다만), 대부분의 포렌직전문가들이라면 그들이 사용한다는 툴로 이들의 이름을 주로 거론한다. 그리고 Hex viewer는 WinHex를 사용을 많이 한다고 한다. 그러나 내가 만나본 사람들중 WinHex를 지대로 사용하는 사람들은 얼마나 있었을까 돌이켜 본다면 그닥, 아니 없었던 같다. 그러나 그 툴의 진면모를 본다면 그들이 왜 진작 WinHex를 진작 사용하지 않았나 싶을 것이다. 나아가 WinHex를 제작한 X-Ways의 X-Ways Forensics 툴까지 본다면 결코 EnCase와 FTK에 뒤지지 않는 성능에 또 한번 놀랄 것이다.   

X-Ways Forensics는 다행히(?)도 동글 기반의 라이센스 프로세싱을 거치지 않고 아직까진 시리얼 기반으로 Register를 하도록 되어있다. Version13.00 까지는 손쉽게 찾을 수 있다만 최신 버젼인 15.2 는 사막에서 바늘 찾기와 같다. 금전적 여유가 있다면 시간절약과 정신건강을 위해 라이센스 구입을 하라.

며칠간 메뉴얼과 씨름하여 얻은 결론은 X-Ways Forensics = EnCase + FTK 이다.
EnCase의 장점은 사용자가 byte/sector 별로 분석할수 있기 때문에 세밀하게 증거를 찾아 낼 수 있다는 점이고 FTK는 자동화된 복구 체계를 이용하여 타입별로 데이타를 미리 정리해 주기 땜에 사용자가 크게 공들일 필요가 없다는 점일 것이다. X-Ways Forensics는 위 두개의 툴의 장점을 합쳐 놓았다. Refine Volume Snapshot 기능을 이용하여 FTK의 장점을 구현하고 directory View와 File View에 있는 다양한 기능들이 EnCase의 장점을 구현해준다. 기본적인 Hash comparison이나, Verify file Types, Recover files and folders, Indexing, Filtering, making Logical Evidecne, Filtering등을 모두 갖추고 있으면 조금 특이한 기능은 문서내에 삽입되어 있는(본문에있는) 그림 파일을 search 하여 따로 export해 준다는 것과 Skin tone detection이 있다는 것이다. skin tone detection은 CP 조사에서 사진과 영상의 내용을 일일이 확인해야 할 필요성을 줄여주는 기능인 것이다. 이 외에 meta data의 정보를 항상 볼수 있게 전용창을 따로 마련해 놓고 있다.

EnCase와 FTK를 다뤄본 사람이라면 쉽게 적응할 수 있는 툴이라고 여겨진다. 다만 메뉴얼이 그림예시가 없어서 영어에 서툰 사람들이 진득하게 앉아서 보기에는 지루하고 고통이 따를 것이라는 생각이 든다. 메뉴얼에서 많은 설명들을 해주니 포기하지 말고 끝까지 읽기를 권한다.

'EnCase' 카테고리의 다른 글

iSpy: How the NSA Accesses Smartphone Data  (0) 2013.09.10
Matching Archiving by Extension  (0) 2010.06.14
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함