아티팩트 제외

XAMN Pro 라이선스가 필요합니다.

보다 효율적으로 조사하기 위해 케이스와 관련이 없거나 기기 사용자가 생성하지 않은 아티팩트를 제외합니다. 제외된 아티팩트는 XAMN에 표시되지 않으며 검색 결과에서 제외됩니다. 이렇게 하면 아티팩트의 양을 줄이고 관련 데이터를 더 빠르게 검색할 수 있습니다.

참고:

  • 데이터 제외를 선택하면 XAMN의 모든 탭에 영향을 미칩니다. Remember Display settings between sessions 옵션이 활성화되면 알려진 데이터, 시스템 파일 및 응용 프로그램 파일을 제외하는 설정이 세션 간에 유지됩니다.

  • 제외 기능은 전역 수준에서 수행되므로, 메뉴에 표시되는 제외 대상 아티팩트의 수는 케이스의 모든 데이터를 기준으로 합니다. 따라서 강조 표시 탭에서 현재 작업 중인 경우 숫자가 현재 탭의 숫자와 일치하지 않을 수 있습니다.

사용자가 생성하지 않은 파일을 제외하는 방법에는 해시 파일을 기반으로 알려진 데이터 제외 및 데이터 추출 중에 식별된 시스템 파일 및 응용 프로그램 파일 제외, 두 가지가 있습니다. 개별적으로 제외하거나 모두 제외하도록 선택할 수 있습니다. 개별 파일은 시스템 또는 응용 프로그램 파일로 모두 식별되고 알려진 데이터의 해시 파일에 포함될 수 있습니다.

탈옥 또는 사용자 루팅된 장치에서 데이터를 검사하고 일반적으로 정적 시스템 파일용으로 예약된 저장소 영역에 잠재적인 증거가 숨겨져 있다고 믿을 만한 이유가 있는 경우 시스템 및 응용 프로그램 파일을 제외하기 전에 주의하십시오. 장치 정보는 케이스 화면 > 데이터 소스 > 세부 정보 창 > 일반 정보에서 확인할 수 있습니다.

제외된 아티팩트는 삭제되지 않습니다. 필요한 경우 언제든지 제외된 아티팩트를 다시 포함하도록 선택할 수 있습니다.

절차

MSAB는 알려진 데이터의 해시 파일을 제공합니다. 이 파일에는 예를 들어 시스템 파일 및 아이콘이 포함되며, 이는 사용자가 생성하지 않았으며 사용자 데이터를 포함하지 않는 것으로 알려져 있습니다. 해시 파일의 출처는 NIST NSRL입니다.

알려진 데이터를 제외하려면 먼저 MSAB 고객 포털에서 MSAB 해시 파일을 다운로드하고 XAMN에 업로드해야 합니다.

팁: MSAB 알려진 데이터 라이브러리 파일은 주기적으로 업데이트됩니다. 이 방법을 통한 효율적인 제외를 위해 알려진 데이터 라이브러리를 정기적으로 다운로드하여 업데이트하십시오.

MSAB 해시 파일 선택
  1. MSAB Customer Portal로 이동하여 메뉴에서 XAMN - 분석을 클릭한 후, MSAB 알려진 데이터 라이브러리 설치 파일을 다운로드하세요.
  2. XAMN의 리본 메뉴에서 Options를 클릭합니다.
  3. 일반 탭의 알려진 데이터 아래에서 찾아보기를 클릭합니다.
  4. 다운로드한 MSAB 해시 파일을 찾아서 Open을 클릭합니다.
알려진 데이터 제외
  1. 리본의 표시 그룹에서 아티팩트 제외 버튼을 클릭합니다.
  2. 드롭다운 목록에서 Known data 확인란을 선택합니다.

    알려진 데이터는 제외됩니다. 이는 XAMN Pro에 표시되지 않으며, 보고서, 내보내기 또는 케이스의 하위 집합 저장 시 포함되지 않음을 의미합니다.

시스템 파일 및 응용 프로그램 파일은 장치의 운영 체제에 포함되거나 장치에 응용 프로그램을 설치 및 업그레이드할 때 추가되는 파일입니다. 사용자가 생성하지 않으며 사용자 데이터를 포함하지도 않습니다.

XRY는 이제 장치에서 데이터를 추출하는 동안 시스템 파일과 응용 프로그램 파일을 식별합니다. 이렇게 하면 XAMN의 케이스에서 해당 파일을 제외하도록 선택할 수 있습니다.

시스템 파일 및 응용 프로그램 파일 제외
  1. 리본의 표시 그룹에서 아티팩트 제외 버튼을 클릭합니다.
  2. 드롭다운 목록에서 System files 및 Application files 확인란을 선택합니다.

참고: 시스템 파일 및 응용 프로그램 파일의 수가 드롭다운 목록에 명시되어 있습니다. 이 숫자가 0이면 최신 버전의 XRY를 사용하여 데이터 추출을 수행하지 않았기 때문에 식별된 시스템 파일이나 응용 프로그램 파일이 없음을 의미합니다.

사용자가 생성하지 않은 아티팩트를 제외하는 것 외에도 아티팩트에 적용한 태그를 기반으로 아티팩트를 제외할 수도 있습니다. 이것은 예를 들어 케이스와 관련이 없는 것으로 확인된 아티팩트 또는 민감한 정보가 포함된 아티팩트를 제외하는 데 유용합니다.

특정 태그가 있는 아티팩트 제외
  1. 리본의 표시 그룹에서 아티팩트 제외 버튼을 클릭합니다.
  2. 드롭다운 목록에서 제외할 태그의 확인란을 선택합니다.

관련 주제