증거 USB 내에 실제 분석해야할 실제 이미지 파일이 있다고 했을 때 증거 USB 이미징 순서가 다음과 같은게 맞는지 확인부탁드립니다. 쓰기방지 설정증거 USB 연결FTK Imager로 증거 USB를 e01로 이미징e01로 이미징한 사본에서 실제 분석할 이미지를 FTK Imager로 열어봐서 복구가 필요하다면 e01로 이미징한 사본에서 실제 분석할 이미지를 다시 dd로 이미징증거 USB를 연결해제하고 쓰기방지 해제 후 복구 및 분석 시작 증거 usb를 이미징해야하는지 아니면 처음부터 실제 분석 이미지를 이미징해야하는지 궁금합니다. 그리고 증거 이미지의 해시값을 작성하라고하면 USB를 해시한 값을 작성해야하나요? 그 안에 분석 이미지를 해시한 값을 작성해야하나요?위 순서가 맞나요? 한 번만 다시 순서를 재정립부탁드립니다.

제공 도구에 있는 Mailview를 통해서는 안열립니다ㅜㅜ 확인 방법이 있나요 ?

안녕하세요.문제에 디지털 분석 보고서를 작성하라는 말이 없으면 굳이 작성안해도되죠?문제에 없어도 꼭 작성해야하는건가 싶어서요.

안녕하세요 선생님 양질의 강의 마련해주셔서 감사합니다.Autopsy로 이미지 분석을 돌리면 진짜 한~~~~~~참 걸리는 문제가 좀 있는데, 저만 그런건지 궁금합니다.제 노트북이 AMD 5600 / RTX 4060 / RAM 32gb 사양인데도 어떤 이미지를 돌려도89%에서 진척사항이 없어서 이때 그냥 종료 후 다시 시작해서 분석을 하고 있습니다그렇게 해도 Evidence 중 뭐가 빠지거나 그런건 지금까지는 없었는데, 원래 이렇게 오래 걸리는게 맞는지, 아니면 제가 분석 메뉴에서 뭘 잘못 눌러서 그런건지 여쭤보고 싶습니다.시험장 노트북 사양으로 분석 시 거의 재앙 급일 것 같은데...동일 문제가 시험장에서 발생 시, 언제쯤 ingest running을 중단하고 분석을 하면 좋을지 개인적인 사견이라도 좋으니 여쭤봐도 괜찮을까요?

실기 준비를 하기위해 25회 실습 자료 image.E01파일을 다운 받았습니다. 해당 파일은 따로 손상된 파일시스템은 없는 것이 맞나요?? 25회 실습 강의를 보면, 파일시스템 복구는 별도로 촬영된 파일시스템 복구 영상을 참조하라고 하시고 다음 단계로 바로 넘어가셨습니다.그런데, 제가 실습파일을 다운받아 FTK이미저를 이용하여 트리를 확인한 결과 16메가바이트 상당의 microsoft reserve partition만 확인되었습니다.해당 이미지파일 로우파일로 변환하여 헥스이미지도 확인하였는데, 위 마이크로소프트 파티션은 헥사데이터는 모두 0인 것으로 볼때, 따로 손상된 파일시스템을 복구하는 문제는 없는 것 같아서 문의 올립니다.

안녕하세요. 이번 26회차 실기 시험 준비 중에 한가지 궁금한 점 이 있어서 이렇게 글을 남깁니다.. 아마 엄청 기초적인 질문 같은데... 요즘 시험의 경우 USB에 이미징 사본 파일이 들어있고 해당 USB를 수거해가는 걸로 알고 있는데 이 경우에는 USB 내 이미징 사본 파일을 그냥 시험 보는 컴퓨터로 복사 해서 넣으면 될까요? 아니면 FTK Imager로 해당 이미징 파일만 e01이나 dd 파일로 이미징을 해야할까요? 아니면 그 USB 자체를 따로 이미징 해야하는 것이 맞을까요?? 갑자기 강의 듣다가 헷갈라서 이렇게 따로 질문을 남깁니다. 감사합니다.

안녕하세요, 좋은 강의 항상 감사합니다. 다름이 아니라 강의를 듣다가 궁금한 점이 생겨서 문의 드립니다.시그니처 EOI의 경우( zip파일의 경우 50 4B 05 06) 파일의 맨 마지막이 아니라 '마지막 근처'에만 위치해도 괜찮은 걸까요 ? 25회 시험 리뷰 5의 27:04 부분을 보면 50 4B 05 06 이후에도 데이터들이 좀 남아있어서 여쭤봅니다. 그리고 그렇다면 파일의 시작 시그니처 같은 경우도 꼭 파일의 맨 처음 부분이 아니라 '처음의 근처'여도 괜찮을 건지 헷갈려서 질문 드려봅니다.감사합니다.

안녕하세요.이번주 2026. 4. 11. 특강관련해서 문의 남깁니다.특강 시간때, 특강을 들을 수가 없어, 혹시 추후 알려주실 URL로 특강 시간이후에도 특강을 볼 수 있는지,아니면 강의에 따로 올려주실 계획인지 궁금합니다.항상 좋은 강의 감사합니다.

안녕하세요디지털 포렌식 2급 필기 핵심 요약집으로 공부하고 있는 고등학생입니다.제가 전자책으로 사용하는게 불편해서 업체를 통해 종이책으로 만들려고 하는데 괜찮을까요?

59강 NTFS br 복구 실습 강의에 첨부된 실습파일을 다운로드 받아 HxD로 불러오기 하였는데 찾기 창에서 NTFS를 입력해도 강의 파일과 같이 여러 값이 나오지 않고 아무리 검색해봐도 br 백업본 파일이 나오지 않습니다. 혹시 제가 못찾는 것인지 ㅠㅠ... 파일이 맞는지 확인 부탁 드립니다~

안녕하세요, 선생님.두 번째 실기시험을 치른 후 여러 생각이 많았습니다. 부족했던 부분에 대한 아쉬움과 스스로에 대한 자책으로 마음이 복잡해 포기를 고민하기도 했습니다. 하지만 강의를 통해 다시 한 번 도전해보고자 마음을 다잡게 되었습니다.동영상 강의도 큰 도움이 되고 있지만, 가능하시다면 일정한 날짜를 정해 현장 강의나 스터디그룹 형태로 보완 학습을 진행해주실 수 있는지 조심스럽게 여쭙고 싶습니다. 개인적인 의견을 공개적으로 남기는 것이 조심스럽지만, 혹시 비슷한 고민을 하는 분들께도 도움이 될 수 있을 것 같아 용기 내어 글을 남깁니다. 검토해주시면 감사하겠습니다.

안녕하세요, 25회 리뷰 강의 내용에 대해 문의드리려고 합니다. 해당 강의에서 a.eml 파일을 수정하면 a.eml.bak 형식으로 백업 파일이 생성된다고 예시로 설명해주셨습니다.그런데 실제로 만들어주신 실습 파일 내용을 확인해보니 oceanfood-1.zip.bak라는 백업 파일이 존재하고, 해당 파일이 수산물 리스트 보내드립니다.eml 파일의 백업이라고 설명해주셨습니다.일반적으로는 수산물 리스트 보내드립니다.eml.bak와 같은 형식으로 생성되는 것이 자연스러울 것 같은데, 이번 경우에는 은폐 목적 등으로 파일명을 oceanfood-1.zip.bak처럼 변경해둔 것으로 이해하면 될까요? 그렇게 되면 백업 파일인지 알아내는 방법으로 동일 파일 사이즈인 거랑 '.bak' 확장자밖에 없어서 좀 헷갈리는 것 같습니다. 강의를 꼼꼼하게 잘 구성해주시고 자료도 자세히 올려주셔서 항상 감사드립니다.

첨부한 이미지는 노트북에 내장된 디스크를 HxD로 열어 확인한 화면입니다.표시된 부분처럼 0번 섹터의 Protective MBR에서 첫 번째 파티션 엔트리의 총 섹터 수 값을 확인했습니다.그런데 강의 29:50에서는 해당 값이 FF FF FF FF로 고정된다고 설명해 주셨지만, 제 실습 환경에서는 0x773BD2AF(2,000,409,263 섹터)로 표시되어 문의드립니다.참고로 2,000,409,263 섹터를 용량으로 환산하면 약 953GB로 계산되며, 실제 디스크 용량과 일치하기는 합니다..이 필드가 항상 FF FF FF FF로 저장되는 것이 맞는지, 아니면 디스크 용량/환경(도구나 OS 등)에 따라 실제 섹터 수로 기록될 수도 있는지 궁금합니다.

안녕하세요 맥북 밖에 없는데 이 강의를 듣기 적절하지 않은 걸까요? ftk imager 는 윈도우 용이라고 해서요.

안녕하세요. 12페이지 표가 겹쳐 NOR 게이트 표가 안 보이네요.확인 부탁드려요~

안녕하세요.강의 자료로 공부 중, 29.p에 있는 다음의 문제 풀이에 대해서 질문이 생겨 글을 작성하게 되었습니다. Q. 각 클러스터에 8개의 섹터를 가지고 있는 NTFS 볼륨에서 "MyNote.txt" 파일의 논리 주소는 2000Bytes이고 클러스터 1000 번지에 저장되어 있다... (생략)해당 문제의 풀이에서는 복구 가능한 "MyNote.txt" 파일의 크기는 976 바이트로 나와있습니다.두 번째 섹터에서 "MyPictures.jpg"로 덮어 쓰여지고 남은 74 바이트는 복구가 불가능한지 궁금합니다.추가로 18.p의 상단에, 요타바이트(ZB)로 작성되어 있습니다. 구글링 해보니 YB으로 나와 있는데, 오타인지 확인해 주시면 감사하겠습니다.

혹시 해당하여 받을수가있을까요?

안녕하세요. 25년 8월 업데이트된 강의안으로 열심히 공부하고 있는 전공자입니다.18페이지 immediate 주소지정방식 관련해서 이해가 잘 되지않아 자료를 더 찾아보았는데요.명령어에 지정할 주소가 포함이 아니라, 명령어에 데이터가 포함된 것 아닌가요?그리고 immediate가 즉치 라고 되어있는데, 즉시 가 맞는것은 아닌지 검토 부탁드립니다.더욱 멋지고 완벽한 강의안이 되었으면 하는 마음에 핸드폰으로 글을 올려봅니다 ㅠㅠ

화면에는 encase_partition_break_E01이란 파일로 분석 하신것 같은데요.그 파일은 어디에서 받을 수 있는건가요?

일단 구매해서 열심히 해보려고 하고 있습니다. 내용을 보면서 3~14회 기출문제집(답만있는것)을 병행하고 있는데 기출문제가 많다보니 정리해주신 요약집에 없는 내용들이 너무 많네요 이것들을 버리고 정리해준 것에 나오는 기출만 봐도 좋을지, 아니면 기출을 따로 또 정리해야 하는지 궁금합니다.