질문 드립니다.
282
작성한 질문수 8
안녕하세요. 강사님
좋은 강의 항상 감사합니다.
카빙 강의 듣고 실습 후 헷갈리는 점이 있어서 질문 드립니다.
강릐를 들으면서 NTFS 파일을 추출하는 방법은 크게 아래 2가지 인 것 같습니다.
1) 이번 강의에서 설명해주신 PE Header와 Section의 크기 정보를 통해 파일을 추출한 방식
2) 'FAT32 and NTFS - 2(실습) 편' 강의에서 NTFS FILE RECORD의 OffsetFieldSize와 LengthFieldSize를 통해 파일을 추출하는 방식
위 1), 2)는 방법이 다를 뿐 같은 결과를 가져오는 것이 맞나요?? 혹시 맞다면 carver.py을 2)가 아닌 1)의 방식으로 구현한 이유가 따로 있을까요?
ps. 제가 아직 정확한게 이해한게 아니라서 질문이 앞뒤가 안맞을 수도 있습니다. 그렇다면 죄송합니다 ㅠㅜ
감사합니다.
답변 1
0
1) 의 목적은 파일의 형태를 보면서 파일을 추출할 수 있는 것을 배우는 과정이라고 보시면 됩니다.
2) 의 목적은 파일이 아닌 파일시스템에서 파일을 추출할 수 있는 것을 배우는 과정이라고 보면 됩니다.
1)과 2)는 같은 결과를 가져오나 1)에서는 파일안에 정보에 따라 슬랙스페이스를 가져오지 않을 수 있습니다. 2)에서는 슬랙스페이스를 포함해서 가져올 수 있습니다. 1) 로 구현한 이유는 이미지를 Realonly로 마운트한 상태에서 디바이스 대상으로 필요한 PE 파일 및 기타 파일들과 매치하는 부분을 전부 긁어오려고 하는 것입니다.
이렇게 만든 이유는 삭제된 데이터 중에 일부 헤더와 일치하는 부분도 찾기 위함 입니다.
답변이 되었을가요?
특강 관련 문의
0
38
1
전자책
0
117
1
59강 실습 파일 문의
0
91
4
현장 강의나 스터디 운영 요청드립니다.
0
82
1
백업 파일 관련
0
67
2
GPT의 Protective MBR 관련하여 여쭤봅니다!
0
80
1
맥북사용
0
54
0
강의안 오류 알려드려요
0
95
2
"파일 삭제 시 클러스터, 섹터의 동작" 문제 질문
1
94
1
포렌식 강의에서 vol / blackenergy 파일이 강의자료안에 없습니다
0
46
1
주소지정방식 관련 강의안 오타 확인요청
1
76
2
섹션 8. 디지털포렌식툴 - autopsy 사용법 듣고 있습니다
0
162
2
궁금한 점이 있습니다.
0
117
1
수강이 다 했는데 왜 29강중 왜24강만 진척되었다고 할까요
0
114
2
프로그램 설치 방법
0
141
1
homebrew 어떻게 설치하나요
0
210
1
xmount 설치가 안됩니다.
0
263
1
xmount 설치 과정에서 문제가 생깁니다!
0
376
1
2021-02-28 기준 010 Editor 64bit(v11.0.1) 참고!
0
270
0
sudo xmount --in ewf ./E01/vmImage.E?? --out dmg /Volumes/DMG 명령이 안먹힙니다.
0
439
3
2분 36초에 플레어스킷? 들리는대로 계속 검색해봐도 어떤 도구인지 모르겠습니다. 정확한 알려주세요.
0
213
1
해당 강의를 듣고 개인 블로그에 내용 정리를 해서 게시해도 되는지 궁금합니다.
0
307
1
질문 있습니다
0
272
1
질문입니다
0
393
6