X-Ways Forensics 고급 활용 기법

X-Ways Forensics 고급 활용 기법AXWF, Advanced X-Ways Forensics

통합 디지털포렌식 도구는 도구마다의 장, 단점이 있다. XWF(X-Ways Forensics) 제품은 파일시스템 분석에 최적화된 도구로 파일시스템 구조 탐색, 은닉 데이터 식별, 데이터 정렬 및 필터, 검색, 데이터 복구 등에서 타 도구 대비 탁월한 성능을 보여준다. 그에 반해 아티팩트 분석 결과는 실제 분석에 활용하기에는 많이 부족하다.

사실 아티팩트 분석에 초점을 맞춘 몇몇 도구를 제외하면 대부분의 디지털포렌식 통합 도구에서 아티팩트 분석을 효과적으로 지원하지 못한다. 최신 아티팩트까지 분석하고자 한다면 포렌식 아티클을 주기적으로 살펴보고 다양한 오픈소스를 활용할 줄 알아야 한다. 하나의 도구가 모든 분석을 해주지 않기 때문에 분석가는 분석 목적에 맞는 도구를 적절히 선택할 수 있어야 한다. 본 과정에서는 그런 선택에 도움을 줄 뿐만아니라 XWF 도구의 기본 및 고급 기능을 살펴보고 도구가 가지는 장단점을 실전 케이스 풀이를 통해 명확히 식별할 수 있다.

과정 상세 내용

교육 기간 : 5일 (7시간/1일), 09:30 – 17:30
교육 방식 : 이론 (40%) + 실습 (60%)
제공 사항 : 노트북 및 동글키 지원 지원, 교육 기간 내 점심 및 다과 제공

※ 주차 지원은 제공되지 않습니다.
※ 본 교육은 윈도우 10 (x64) 환경에서 진행됩니다.

일정	주제	상세 내용
1일차	XWF 기본 기능	XWF 소개 (라이선스 유형 및 동글 소개, 통합 분석 도구 비교)
		XWF 시작하기
		기본 설정 및 메뉴
		사용자 인터페이스 (디렉터리 브라우저,각종 보기 모드, 케이스 데이터 창, 템플릿 활용하기)
		케이스 생성 및 증거 추가
		증거 이미지 생성 (일반/리버스/스켈레톤/클린즈드 이미지, 컨테이너 파일)
		볼륨 스냅샷 (VS 옵션, RVS 소개)
		X-PERT 자격증 취득 가이드
		리뷰 질문 및 연습문제 풀이
2일차	디스크 구조와 파일시스템	파일시스템 개요 (저장장치 구조, 파일시스템 소개, 클러스터와 슬랙)
		MBR/GPT 구조, 복원하기
		NTFS VBR 구조, 복원하기
		NTFS MFT 레코드 구조
		NTFS 속성 구조 ($SIA, $FNA, $DATA, $INDEX, ADS)
		NTFS 파일 복구 원리
		파티션 복구하기
		RAID 시스템 재구성하기
		(RVS) 파일시스템 데이터 구조 검색하기
		리뷰 질문 및 연습문제 풀이
3일차	XWF 고급 기능	구성 파일 정의하기 (File Type Categories/Signature *.txt)
		레지스트리 분석하기 (키/값/데이터 구조, 복구 원리, 트랜잭션 로그, 주요 아티팩트)
		(RVS) 이메일 분석하기
		(RVS) 시그니처 분석하기
		(RVS) 검색과 색인 활용하기 (동시 검색, 물리/논리/인덱스 검색, 텍스트/헥스 검색)
		(RVS) 해시 분석하기 (동일 데이터 식별)
		(RVS) FuzzyDoc 분석하기 (Fuzzy 해시, 문서 유사도 비교)
		(RVS) 블록 해시하기 (삭제된 데이터 식별)
		리뷰 질문 및 연습문제 풀이
4일차		(RVS) 파일 카빙하기 (RVS를 이용한 카빙 vs. DiskTools를 이용한 카빙)
		(RVS) 파일 아카이브 분석하기
		(RVS) 파일 내 내장된 파일 추출하기 (문서 내 파일, 썸네일, 프린터 스풀, 브라우저 캐시 등)
		(RVS) 아티팩트 이벤트 타임라인 구성하기
		(RVS) 동영상에서 스틸이미지 추출하기
		(RVS) 암호화 식별하기 (응용프로그램/파일시스템 수준, 엔트로피 기반)
		보고서 생성하기
		리뷰 질문 및 연습문제 풀이
5일차	케이스 분석	기술유출 사고 케이스 소개와 풀이
		랜섬웨어 케이스 소개와 풀이
		교육생 역량 및 만족도 평가