볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
X-Ways Forensics에서 지원되는 기능으로 증거 데이터 내 핵심 아티팩트들을 자동으로 분석해주는 기능으로
이를 통해 증거 데이터 분석을 간편하게 수행할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
기능 사용을 위해 상단 [Specialist] => [Refine Volume Snapshot] 버튼을 클릭합니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
RVS 메뉴로 진입하면 다양한 증거 데이터를 자동으로 수집하고 분석하기 위한 상세 옵션들을 설정할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
데이터 복구를 위한 상세 옵션을 위해 하단 [...] 버튼을 클릭합니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
윈도우 파일시스템 NTFS 및 리눅스 파일시스템 Ext에 대한 데이터 복구 상세 옵션을 지정할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
하단 Options 탭에서 [...] 버튼을 클릭합니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
이후 표시되는 메뉴에서 볼륨 스냅샷을 통해 증거 데이터 수집을 진행하고자 할 파티션을 선택하여 진행할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
[Compute Hash] 기능은 해시 분석 기능으로 해시 값 계산을 위한 해시 알고리즘을 직접 선택할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
포렌식 분석에서 주로 사용되는 MD5부터 SHA1, SHA-256등 다양한 알고리즘을 선택하여 계산할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
내부 메타데이터 및 브라우저 아티팩트 분석을 위한 상세 옵션을 설정할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
[...] 버튼을 클릭하면 나타나는 메뉴로 분석 대상 메타데이터 및 상세 옵션을 지정할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
아카이브 파일을 수집할 수 있는 기능을 사용하기 위한 상세 옵션을 설정할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
X-Ways Forensics 도구에서 지정 된 압축 파일들은 복합 파일들로 .zip, .tar 및
오피스, doc, rtf 등 다양한 문서 파일들을 수집합니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
하단 메뉴의 스레드 설정을 통해 볼륨 스냅샷의 속도를 조절할 수 있습니다.
시스템에서 지원되는 CPU 코어 수에 따라 스레드 수는 달라질 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
볼륨 스냅샷 분석을 위한 기본적인 옵션을 지정한 뒤 [ OK ] 버튼을 클릭하여 분석을 진행합니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
이후 카빙 옵션이 나타나는데, 화면 [Filename prefix :] 항목에서 문자를 지정하면
카빙 된 파일 맨 앞에는 해당 문자열이 자동으로 추가 됩니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
왼쪽 File Type 목록에서는 X-Ways Forensics를 통해 복구 가능한 파일 타입 목록을 확인할 수 있습니다.

볼륨 스냅샷 기능 활용 - Refine Volume Snapshot(RVS)
모든 설정이 완료된 후 시간이 지나면 볼륨 스냅샷 분석은 자동으로 끝나며 분석 결과는 이후
X-Ways Forensics 분석을 통해 직접 확인할 수 있습니다.