인프런 커뮤니티 질문&답변

안녕하세요 유창범님!

질문 해주신 것에 대한 답변부터 말씀드리면 "그렇습니다"

매 시험마다 출제되는 내용들이 정말 어디로 튈지 모르기도하고 또 난이도도 일정하지 않다보니
어떤 일이든 섣불리 답변드리기는 어려운게 현실이긴 합니다.

다만 질문주신 파티션 복구 관련해서
1) BR을 훼손하고 그에 대한 백업본까지 훼손하는 경우
- 이 경우는 사실상 나올수가 없다고 개인적으로는 생각합니다.
BR의 백업이 있는 이유는 어떠한 이유로든 BR이 훼손됐을때 복구하기 위한 안전장치가 하나 있는것이고 2급 시험임을 감안했을때 그러한 백업의 존재를 알고 찾아서 복구할줄 아느냐가 포인트이기때문에 백업까지 삭제하고 나올 일은 사실상 없을거라고 생각이 됩니다.
물론 현실에서는 제가 만약 범죄를 저질렀고 그러한 것을 은폐하기 위해서는 못할게 없겠죠.
하지만 시험에서는 그렇게 나올수는 없다고 생각이 됩니다!

2) MBR의 삭제

MBR의 경우 파티션 테이블의 특정 부분(4개중 1개의 파티션 테이블을 전부 훼손또는 삭제하는 등)을
훼손할수는 있을것 같은데, MBR이 있는 0번섹터를 완전히 없애서 나오는 경우는 가능성이 낮다고 생각됩니다.
물론 MBR이 없이 0번섹터에 바로 BR이 오는 그런 구조는 있을수는 있겠죠
하지만 MBR이 존재함에도 불구하고 한번 풀수 있으면 풀어봐라라는 식으로 MBR을 없애서 나오진 않을거라 생각됩니다.

또한 파티션 테이블의 일부 훼손의 경우 Encase나 ftk imager, autopsy 등의 분석 프로그램에서
자동으로 보여주는 등 여러 방법이 있기때문에 이 또한 크게 문제는 안될것 같습니다.

어디까지나 제 개인적인 생각인데, 그동안 시험 기출됐던것들을 보면 무엇도 방심할수는 없는게 사실입니다. 다만 질문주신 부분은 현재까지 나올만한 형태가 다 나왔다고 생각되기에 조심스럽지만 그렇게 나오기는 어려울것 같다는 말씀을 드려봅니다 :)

안녕하세요, 인프런 AI 인턴입니다. 유창범님, 질문 주셔서 감사합니다!

디지털 포렌식 시험에서 MBR과 백업본까지 전부 훼손된 시나리오가 등장하는 것은 매우 드문 경우입니다. 보통 실기 시험에서는 현실적인 복구 상황을 재현하기 때문에 모든 데이터를 싹 지워놓고 복구하라는 문제는 나오지 않는 것이 일반적입니다. 이는 응시자가 기술적 능력을 평가하기 위해 현실적인 데이터 복구 시나리오로 구성되기 때문입니다.

일반적인 포렌식 시험 구성

1. 일반적인 복구 시나리오: 일부 파티션이 손상되거나 덮어쓰임.
   
2. 특정 섹터 수동 복구 문제: 주로 백업본을 이용해 복구하는 방식으로 출제.
   
3. 복구 도구 활용: FTK Imager나 EnCase 등 다양한 도구 사용 능력 평가.
   

하지만 시험에서의 실제 출제 방향은 언제나 변할 수 있기 때문에, 포렌식 도구와 일반적인 복구 방법에 대한 숙련도가 높을수록 다양한 상황에 대비할 수 있습니다.

관련된 학습에 도움이 될 만한 게시물을 추천드립니다:

• 파티션복구 질문있어요: 다양한 복구 시나리오에 대한 논의가 포함되어 있습니다.
  
• 질문입니다.: BR 복구 및 파티션 관련된 구체적인 설명을 다루고 있습니다.
  

현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.