인프런 커뮤니티 질문&답변
작성한 질문수
22회 실기 관련 문의
해결된 질문
작성
·
606
0
안녕하세요 강사님.
이번 22회 실기 관련해서 문의드리고자 합니다.
처음 나눠준 usb를 복구하면 내부에 E01 이미지 파일이 있는데 그것을 추출해서 FTK imager와 Autopsy로 열고자 하였는데 열리지 않아 HxD로 확인해 보니 해더 부분은 E01파일 이 맞는 것을 확인했습니다..
혹시 다른 어떤 조치를 취하고 열었어야 했는지 여쭙고자 합니다.
아직 공부 기간이 길지 않아 이 부분조차 해결하지 못하고 돌아왔네요
답변 5
0
글 작성해주신 분하고 저도 동일한 현상이었는데 처음 나눠준 usb를 복구해서 열어보니
파일명.E01
파일명.E02
파일명.E03
파일명.E04
파일명.txt (FTK 이미징 후 산출된 로그파일) 이렇게 파일이 있었고 해당 파일을 encase, FTK, Autopsy에서 열어보려고 했으나 열리지 않아서 그냥 나왔습니다. 왜 그랬을지 고민해 봐도 잘 모르겠네요
0
다음에 또 이런 일이 발생하면, 헥스 에디터로 파일을 열어서 시험용 USB가 잘못 만들어진 것은 아닌지 확인해보고, 다른 USB로 바꿔달라고 요청하는 것도 방법일 것 같습니다.
0
다른 질문 인지 모르겠으나, 저같은 경우
처음 usb 복구 시, logical drive 선택하고 진행했었는데,
열리지 않아서
physical drive로 복구해서 진행했더니 내부 파일이 정상적으로 확인 되었었습니다.
0
제 경우는 아래와 같은 절차로 이상없이 E01 파일을 열 수 있었습니다.
RAW(dd) 형식으로 USB 이미지 획득
E01 파일이 저장된 폴더의 모든 파일 추출(*.E01.Slack 또는 이와 유사한 파일도 있었습니다.)
EnCase로 E01 파일 불러오기 성공
0
안녕하세요 rang님!
말씀하신 부분은 정확하진 않지만 원인을 알 수 없는 에러로 추정이 됩니다.
이번시험에 그와 관련되어 문제가 있었다는 말씀을 해주신분이 또 계신데,
이게 정확히 어떤 상황일때 나오는 문제인지 조차 명확하지 않아서 조금은 테스트를 해보고 말씀을 드려야할것 같습니다.(물론 말씀하신 경우가 제가 생각하는 것과 전혀 다른 문제일 가능성도 있습니다)
관련된 내용은 시험 리뷰에서 종합적으로 말씀드리도록 하겠습니다!
안녕하세요 조심스럽게 답변 남겨봅니다.
USB 1개 (FAT32 파일시스템 1개를 가진 USB이며 BR 훼손)를 dd로 이미징 후 복구한 뒤 FTK로 복구한 dd 이미징 파일을 열면 특정 폴더 안에 Fragment된 이미징 파일(E01~E04) 과 이미징한 파일 정보를 가진 txt 파일이 있어 FTK로 이미징 한 것을 알 수 있었습니다.
Ex)
[증거 이미지 파일 폴더]
파일명.E01
파일명.E02
파일명.E03
파일명.E04
파일명.txt (FTK 이미징 후 산출된 로그파일)
혹시... rang 님께서는 위 예시와 같이 Fragment된 이미징 파일(E01~E04)을 담은 "증거 이미지 파일 폴더"를 추출 후 해당 폴더 내 존재하는 E01파일을 열지 않고, 그냥 E01파일 한 개만을 추출하고 열려는 시도를 하셔서 FTK나 Autopsy에서 안 열린게 아닐까라는 조심스런 생각을 해봅니다. 해당 증거 이미지 파일 (E01~E04) 자체를 FTK같은 툴로 여는데는 별 다른 조치를 취할 필요없이 전혀 문제가 없었기 때문입니다.