묻고 답해요
130만명의 커뮤니티!! 함께 토론해봐요.
인프런 TOP Writers
-
미해결기초부터 따라하는 디지털포렌식
메모리 포렌식은 재부팅 이후 불가능하죠?
수업 첫 강에서 말씀하셨다시피 메모리 포렌식을 하기 위해서는 램 메모리를 이미징해서 그 안에 있는 데이터를 분석하는 과정이라고 배웠습니다. 서버 등에서 침해 사고가 일어났을 경우 급하게 메모리를 이미징 하는 거면, 서버가 재부팅 되거나 아니면 서버 컴퓨터가 아니라 일반 PC 도 재부팅 될 경우에는 메모리 포렌식 자체를 못 하는 건가요? - 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.
-
미해결기초부터 따라하는 디지털포렌식
pslist, psscan, pstree를 한 줄 씩 입력하지 않고 한꺼번에 처리할 수는 없나요?
리눅스를 잠깐 접해본 적 있습니다. 보통 리눅스 명령어, 또는 도스 명령어에서도 | 역슬래쉬를 써서 여러 명령어를 한 번에 입력했는데, volatillity 에서도 여러 명령어를 한 번에 처리할 수 있나요? - 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.
-
미해결기초부터 따라하는 디지털포렌식
cridex 다운로드가 안 됩니다.
안녕하세요!도구 설치, 환경 설정, 문제 다운로드 강의 보고 있습니다. 시스템 환경 변수 설정이랑 윈도우 터미널 설정은 완료했는데 크리덱스를 설치하려고 깃 허브에 들어가니 이제 다운로드가 불가능하네요 ㅠㅠ예제 파일을 다른 경로로 다운 받을 수 있을까요? 부탁드려요! - 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.
-
미해결기초부터 따라하는 디지털포렌식
휴지통 파일 역추적 방법
안녕하세요. 너무나 좋은 강의를 무료로 올려주셔서 현업에서도 큰 도움이 되고 있습니다.다름이 아니라, 실무에서는 실습과 다르게 삭제한 파일을 먼저 보기 보다 휴지통에서 알 수 없는 $I1234.xlsb라는 파일을 먼저 보게 됩니다. 따라서 위와 같은 파일이 실제 어떤 파일인지 확인해야 하는데,위 인덱스 파일($I)을 HxD로 열 경우 다행히 영문이라면 경로와 파일명을 확인할 수 있는데, 제목이 한글이라면 인코딩이 깨져 파일명을 알 수가 없습니다.한글 제목의 파일이 휴지통으로 이동된 후 삭제되었을 경우, 남아있는 아티팩트로 확인 할 수 있는 방법이 있을까요? 2024년 새해 복 많이 받으세요^^
-
해결됨기초부터 따라하는 디지털포렌식
cridex 다운이 안됩니다.
cridex 다운받으려고 하니 403 Access Denied 뜨네요다른 곳에서 다운 받는 방법이 혹시 있을까요?
-
미해결기초부터 따라하는 디지털포렌식
해당 강의로 티스토리에 정리해도 될까요?
안녕하세요! 혹시 이 강의를 들으면서 저의티스토리에 정리나 요약해도 될까요..?이 강의링크와 출처는 정확히 밝히겠습니다!!
-
미해결기초부터 따라하는 디지털포렌식
FTK Imager 다운로드
수강해서 보고 있는 수강생입니다. FTK Imager는 어디서 다운받을 수 있나요 .. 커리큘럼이나 대시보드에서도 확인이 불가능하네요.
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
리틀엔디안 빅엔디안 변환 관련
강사님 추가로 리틀엔디안 > 빅엔디안 변환 과정에서 궁금한 점이 있습니다!오톱시교재 기준 예시로 99페이지를 보면, '섹터당 용량'의 리틀엔디안 00 02는 빅엔디안 200(십진수 512)으로 변환하셨고,'총 섹터수'의 리틀엔디안 00 20 02 00은 빅엔디안 03 20 00(십진수 204,800개)로 변환하신 부분을 확인하였습니다.차이점으로 빅엔디안 기준, 마지막 값이 00이냐 0이냐 차이인데, 이에따라 값도 달라지는 것으로 알고 있습니다.어느 상황에서 00, 0 구분하여 사용하는지가 궁금합니다.
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
DD파일 생성 문의
안녕하세요 강사님먼저 유익하고 친절한 강의 감사드립니다.다름이 아니고 오톱시교재 180페이지를 보면, 파일시스템 복구를 위한 DD파일 생성 간, 증거USB를 다시 불러와 생성해야된다고 나와있는데,혼자 진행하기로는 기생성된 E0파일로도 DD파일을 생성하는 걸로 확인, 인지하였습니다.따라서, E0파일에서 DD파일을 생성해도 무관한지 문의드립니다.
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
질문입니다.
파티션 복구 시 mbr 없이 br만 나오는 경우, 0번 섹터가 훼손되어 백업본을 찾기 위해 ntfs로 검색 시 수천개의 ntfs라는 키워드 검색 결과가 나오면, 강의에서 말씀하신 것 처럼 er ntfs가 decoded text 맨앞에 나오는 것을 찾아야하는지 그리고 만일 이러한 er ntfs가 decoded text 맨앞에 나오는 것이 여러개 존재 (ntfs의 다중 파티션이라고 가정하면 )하는 경우 어떻게 복구해야할까요 전 시험에서 비트라커를 몰라서 문제를 해결하지 못하였는데 그때 보았던 이미지 파일의 hex 값이 위 와 같은 유사한 상황이었던것으로 기억나서 질문드립니다.
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
Bitlocker 강의자료 관련 질문
안녕하세요 선생님. 항상 강의 재밌게 듣고 있습니다 ^^Bitlocker 강의와 관련, 강의자료를 올려주셨는데 이와 관련하여 질문 드립니다.강의자료 중 bitlocker.e01를 FTK Imager를 통해 이미지 마운트를 하여 볼륨 복호화 실습을 진행하고 있는데요, FTK Imager를 통한 이미지 마운트가 되질 않습니다(정확히는 마운트는 된 것 같으나, 정상적인 형태의 암호화된 볼륨형태로 보이지 않습니다. 아래 이미지의 E 드라이브 참조) 제 실습환경이 윈도우11 기본적으로 Bitlocker가 활성화된 PC인데, 이게 영향이 미쳤을까요? 해결방법을 아시면 답변을 부탁드립니다. 감사합니다.
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
시험장 캡쳐 및 보고서 첨부방법
좋은 수업 감사합니다.세 가지 여쭤보고 싶습니다.실기 시험을 앞두고 있는데 보고서 작성시제가 확인한 프로그램 화면들을 캡쳐해서 넣고 싶을 때화면 우측 하단의 시간 날짜까지 나와야 하는지,아니면 캡쳐 중 일부만 잘라서 붙여도 되는지요?캡쳐는 일반적인 그림판 이용 외에 다른 방법이 있는지요?어떤 문제에서 캡쳐를 해줘야 하고, 어떤 문제애서 해주지 않아도 되는지 여쭤보고 싶습니다.좋은 수업에 다시 한번 감사드립니다.
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
질문입니다.
시험장 제공 증거 usb에 이미지 파일이 있는 경우, 별도의 이미지 생성과정 없이 쓰기방지 설정하지 않고 해당 이미지 파일을 이용 autopsy나 ftk 이미저로 바로 분석을 하면되는 것인가요?
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
강의내용데로 진행이 안되요
encase v23.2 사용하고있습니다. 강의내용에 따라 진행하는데 process 클릭시 에러가 나오면서 진행이 안됩니다..ㅡㅜ 이유가 멀까요
-
미해결기초부터 따라하는 디지털포렌식
dump
안녕하세요, 강의 정말 잘 들었습니다!강의 듣던 중 memdump와 dumpfile의 활용이 살짝 헷갈려서 질문 드립니다주로 파일로만 추출할 때는 dumpfile을 사용하고, 파일 내용 안에서 검색할 문자열이 있을 경우 memdump를 사용하는 건가요..?정확히 언제 사용하는 건지 설명해주실 수 있나요?
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
강의한 PPT 파일 어디서 다운로드 받아볼 수 있나요?
강의한 PPT 파일 어디서 다운로드 받아볼 수 있나요?
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
질문입니다!
안녕하세요! 질문이 있습니다!(우선 1~3번 질문의 경우 너무 기초적인 질문이라 죄송하다는 말씀드리며 시작합니다) 순서관련증거물이 담긴 USB를 연결하기 전 무결성 유지를 위해 '쓰기방지', '자동실행 OFF' 등을 먼저한 후증거물 USB를 연결하고 이미징 작업 진행, 이미징 작업 완료 후 증거물 USB 제거 및 쓰기방지 해제.이 순서가 맞나요? 이미징 할때 처음에는 E01 형식으로 이미징 하고 파티션 등 복구가 필요할 경우 다시 raw(dd) 형식으로 이미징하자고 하셨던 것 같은데시간관계상 처음부터 E01 형식이 아닌 raw(dd) 형식으로 이미징하고 진행해도 크게 상관 없을까요? 분석도구로(AUTOPSY) 분석할때는 어떤 형식의 이미징파일로 진행하는게 맞을까요?(강의에서 봤던것 같은데 기억이..죄송합니다) 4. 시험현장에서 Registry Viewer 혹은 레가를 이용하여 레지스트리를 수집하고자 할때 어떻게? 어떤 파일?을 오픈해야하나요?(질문이 광범위해서 죄송합니다)5. BCWIPE를 이용하여 삭제한 경우 "BCWipe는 어떠한 데이터가 저장되었는지 알 수 없도록 하기 위해 MFT 영역의 Flag 및 Name을 변형하였다. NTFS 파일시스템에서 삭제된 파일의 Flag 값은 ‘0x0000’인데, BCWipe는 Flag 값을 ‘0x0200’(디렉터리 파일)으로 변경하였다. 삭제된 파일 Name의 경우 파일 Name 값에 ‘~BCWipe.tmp’값을 기록하였다. 때문에 Name 값 분석을 통해 BCWipe의 사용 여부를 알 수 있다."위 문장과 관련하여 혼자 연습해보는데 플레그 값의 위치는 어디인지.. Name 값은 어디있는지 찾을 수가 없더라구요.. 알려주실 수 있을까요?
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
시나리오 3 관련 USB의 모델명 관련 질문입니다.
AUTOPSY 최신 버전(4.21.0)의 문제인지, 제 PC 설정의 문제인지 몰라서 추가 질문 드립니다. 시나리오3-문제10- 증거 USB 모델명 관련 해서 Device Model이 강사님 답처럼 Ultra Flair가 아닌 Product Number로 조회가 되는데, 혹시 따로 추가적인 설정이 필요할까요?
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
질문있습니다!
안녕하세요! AUTOPSY로 학습간 질문이 있어서 문의드립니다.1. Run Ingest Module - Extension mismatch Detect에서Skip files without extensions + Skip known files이 결과값에 미치는 영향과 체크를 해제할 필요는 없을까요?Skip files without extensions은 직관적으로 이해가 되는데 Skip knoww files의 의미를 잘 모르겠습니다.2. Run Ingest Module - Keyword Search 에서 현재 최신 버전(4.21.0)에는 Add text to Solr Index 라는 체크하는 곳이 생겼습니다.이거를 체크해야 키워드 서칭이 되는 것 같은데, 강의에는 없는 내용이다 보니 질문드립니다.3. ftk imager에서 Recovered라고 뜨는 파티션의 경우 Encase에서는 프로그램 내부에서 별도의 작업을, Autopsy에서는 추가적인 작업은 필요없다고 하셨지만, 실제 hxd로 복구해보려면 어떻게 해야할까요?시나리오2 기준으로 3번 파티션의 스타팅 섹터와 섹터수를 16진수 값으로 변경해서 넣어보고 encase에서 열어봣는데 그것만으로는 되는 것 같지 않아서 문의드립니다.
-
해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
또 질문드립니다!
안녕하세요!또 질문드리네요 ㅎㅎ 항상 친절하고 자세하게 답변해주셔서 너무 감사합니다!1. 비트락커 설치 및 제공이 안되는 윈도우버전밖에 없을경우 연습해볼 수 있는 방법(개인 컴퓨터가 윈도우11Home버전이라.. 연습해볼 방법이없어 답답하여 질문드립니다)2.스태가노그래피 관련 파일 하나하나 분석하는 방법 이외에 빠르게 찾을 수 있는 방법(예를 들어 특정파일의 크기가 다른 파일에 비해 비정상적으로 크다던가..특징..?)3. 특정 경로에 있어야할 폴더 및 그 폴더 안의 데이터들이 없을 경우 찾는 법..?(예를 들어 user/appdata/roaming/‘찾고자하는 폴더’ 인데 폴더가 없고 옵토시 삭제파일에서도 찾을 수 없는경우..)4.sha1 해쉬값을 오톱시에서 검색하는 법?(오톱시에서는 md5, sha256 밖에 검색이 안되는 것 같은데 해결책이 있을까요?)5.특정 hex값을(시그니처 훼손 등)오톱시에서 따로 검색하는 법이 있나요?질문이 많아서 죄송합니다!