강사님 이미지 생성 시, Hash 값 첨부 질문드립니다!
강사님 안녕하세요, 문제 풀이 중, 이제 증거 사본 생성 과정 등은 잘 작성하고 있는 중, 의문이 생겨서 질문드립니다!
문제 사항 중, "증거사본 이미지를 첨부할 필요 없다"라는 구문이 확인 되어 .E01 이미지를 FTK Imager로 생성하지 않고, .raw(dd)를 바로 생성하였습니다.
이 경우에 문제에서 증거 사본 이미지 생성 절차 등 관련 정보를 작성하는 중에 Hash 값을 작성해서 첨부를 하려는데 그냥 .raw(dd)이미지 생성 시, 산출된 logfile에 적힌 Hash(MD5, SHA1)의 CheckSum 값을 그대로 작성해서 기입해도 되나요?
아니면, E01 이미지를 생성한 후, 해당 해시값을 첨부를 해야하나요? (과정 진행은 잘 하고있는데 해당 부분이 의문이 생겨서 문의 드립니다!)
답변 1
1
안녕하세요 꾸기님!
사본이미지의 hash값은 이미지가 dd 인지 e01인지는 전혀 중요하지않습니다!
이미징할때 e01 or dd 를 선택하는것은 상황등에 따라 분석관의 선택일뿐, 반드시 e01을 먼저해야하거나 hash값은 반드시 e01으로 산출해야하는 것은 아닙니다.
마치 문서를 출력해야하는데 작성을 한글로 할것인지 MS워드로 할것인지 개인의 선택일뿐 최종적으로 출력물 동일한것과 비슷합니다.
제가 최초 이미징시에 e01으로 하시는것을 추천드리는것은 시험에서 이미징 파일을 제출하는경우 dd파일은 용량문제때문에 결국 e01으로 다시한번 이미징하는 불편함을 피하기 위해서입니다.
말씀하신것처럼 이미징파일을 제출하지않는 경우라면 오히려 dd파일로 이미징을 하는것이 파티션 복구를 해야하는경우등을 생각하면 오히려 더 나을수도 있습니다.
어디까지나 시험에 맞춰서 e01을 권해드리는것 뿐이니 상황에 맞게 선택하시면되며, 이미지제출을 하는경우라면 되도록 e01을 권해드립니다.
또한 보고서에 사본이미지 hash값을 기록할때, 이미지 형식이 dd인지 e01인지는 전혀 상관없습니다!
이미징 관련 기초적인 질문입니다..
0
27
1
파일 EOI 관련 질문
0
45
2
특강 관련 문의
0
44
1
59강 실습 파일 문의
0
95
4
현장 강의나 스터디 운영 요청드립니다.
0
89
1
백업 파일 관련
0
73
2
GPT의 Protective MBR 관련하여 여쭤봅니다!
0
83
1
섹션 8. 디지털포렌식툴 - autopsy 사용법 듣고 있습니다
0
172
2
이미징 방법(기초)
0
164
3
보고서 작성 관련 질문 드립니다.
0
116
2
Autopsy관련 질문입니다.
0
105
2
시험 관련 질문
0
118
2
24회 시험 chatgpt의 설치 삭제 시간 관련 질문 있습니다
0
171
4
IP에 대해서 궁금한 점이 있습니다.
0
102
2
Encase 만 사용해서 실기시험 볼 수 있을까요 ?
0
136
2
향로 챌린지 참여 특별미션으로 질문 남기게 됐습니다.
0
74
1
박총괄이 보낸 메일 발신일자 관련해서
0
88
3
쓰기방지실습
1
146
2
24회 2급
0
238
1
안녕하세요 AutoPsy 교재 p265쯤 오류가 있는거 같아 질의드립니다
0
122
1
시험중 Encase process 기능 문제
0
201
2
연락방법
0
210
3
스테가노그래피 확인 관련 문의드립니다.
0
143
2
보고서 정리
0
184
2