DFXML = Digital Forensics XML
DFXML은 디지털 포렌식 데이터를 저장하고 전송, 교환하는 데 사용되는 XML 형식의 문서입니다.
디지털 포렌식 전문가가 디지털 증거를 수집, 분석 및 보고하는 데 사용이 됩니다.
디지털 포렌식 데이터 구조를 정의하고 데이터의 무결성을 보장합니다.
DFXML은 NIST(National Institute of Standards and Technology : 미국국립표준기술연구소)에서 개발한 표준입니다.
DFXML은 NIST SP 800-101에 정의되어 있습니다.
DFXML 예시1
<dfxml xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.dfxml.org/dfxml dfxml.xsd">
<case_id>1234567890</case_id>
<investigator>홍길동</investigator>
<date>2023-06-21</date>
<device>
<name>Windows PC</name>
<serial_number>ABC123456</serial_number>
</device>
<artifacts>
<artifact>
<name>Windows Event Log</name>
<location>C:\Windows\System32\winevt\Logs</location>
</artifact>
<artifact>
<name>Chrome Bookmarks</name>
<location>C:\Users\Hong\AppData\Local\Google\Chrome\User Data\Default\Bookmarks</location>
</artifact>
</artifacts>
</dfxml>
이 DFXML은 디지털 포렌식 조사의 결과를 저장하는 데 사용됩니다.
사건 id, 조사관 이름, 조사 날짜, 조사 대상 장치의 이름과 일련번호와 같은 정보가 포함되어 있습니다. 또한 DFXML에는 조사 대상 장치에서 수집한 증거의 위치와 이름과 같은 정보도 포함되어 있습니다.
DFXML 예시2
<dfxml version="1.1">
<case id="1234567890">
<evidence>
<file name="file1.txt" type="text/plain">
<content>This is the content of file1.txt</content>
</file>
<file name="file2.jpg" type="image/jpeg">
<content>This is the content of file2.jpg</content>
</file>
</evidence>
</case>
</dfxml>이 DFXML 문서는 file1.txt라는 텍스트 파일과 file2.jpg라는 JPEG 이미지라는 두 가지 증거가 있는 디지털 포렌식 예시입니다. 각 파일 요소의 content 요소에는 파일의 실제 내용이 포함됩니다.
DFXML 예시3
<dfxml>
<case>
<id>12345</id>
<title>Example</title>
<date>2023-06-22T10:00:00Z</date>
</case>
<artifacts>
<artifact>
<id>12346</id>
<type>file</type>
<path>C:\Users\Hong\Desktop\example.txt</path>
<size>2048</size>
<content>This is an example file</content>
</artifact>
</artifacts>
</dfxml>
이 예시에서 <case>는 사건을 나타냅니다. <id> 속성은 사건의 ID <title> 속성은 사건의 제목 <date> 속성은 사건의 날짜를 나타냅니다.
<artifacts>는 사건의 증거를 나타냅니다.
<id> 속성은 증거의 ID <type> 속성은 증거의 유형 <path> 속성은 증거의 경로 <size> 속성은 증거의 크기 <content> 속성은 증거의 내용을 나타냅니다.
댓글