23회 실기시험에서 너무 기본적인 부분이나 두 가지 걸리는 점이 있어서 문의드립니다. 1) 수험번호 기재 사 실격 어부분석보고서 내부와 제출 폴더 이름명을 수험번호로 기재하여 제출하였습니다. 시험이 끝나고 인강 커뮤니티를 확인해보니 수험번호를 기재하지 말라고 하셨다고 하는데 시험을 볼 때 수험번호에 대한 어떠한 안내도 받지 못했습니다.이런 경우 실격 처리가 될 수도 있을까요? 2) 증거 이미지 제출 여부문제지를 여러 번 읽어보았지만 증거 파일 및 이미지를 제출하라는 말이 없었고, 파티션 복구 문제라서 바로 raw이미지로 사본을 생성했더니 용량이 초과되어 따로 넣지 않았습니다. 혹시 이에 따른 감점이 있을까요?

이번 23회 실기 수험생입니다. 실기시험중에 겪은 일입니다. 도움이 될 것 같아 남깁니다. 한글 워드프로세서 실행 오류 문제예.. 이번이 두번째 실기시험입니다.지난 22회 실기시험에서 한글 프로그램이 실행되지 않았었습니다.감독관이 한글 안되면 워드를 사용해서 답안 작성하라고 했었습니다. 그런가보다 했죠. 이번에 23회 실기에서 저는 시작하자마자 한글을 실행해서 정상작동되는 것을 확인했습니다. 이후 감독관으로부터 컴퓨터 바탕화면에 있는 분석툴 설치하라는 안내를 받고 대부분의 툴을 설치하고 다시 확인하니 한글이 실행되지 않았습니다. 악몽이 재현되고있었습니다. 추후 감독관으로부터 한글 설치파일을 제공받아 설치했지만 오류가 나면서 먹통이 되었습니다.이 것 때문에 시험 시간을 30분 이상 날렸습니다. 중요한건 이번 시험문제 중에 한글 파일을 엑셀로 변조한 것이 나왔다는 것... EnCase 프로세스가 완료되지 않는 문제시험장에서 제공받은 EnCase v22.3 으로 기억하는데... 프로세스를 돌린 후에 프로세스 모니터 창에서 100% 찍은 것을 확인했는데, 완료가 되지 않는 문제가 있었습니다.인터넷 아티펙트, 시스템 인포, 윈도우 이벤트로그, 윈도우 ???, SNS어쩌구 등 총 5개 정도 체크했던 것 같습니다.지인과 지난 회차 시험 이야기를 하다가, 이런 문제가 있었다고 전해들은 저는 프로세스를 강제종료했지만 먹통이 된 것을 발견, EnCase를 강제종료하고 다시 프로세스를 돌렸지만 같은 현상이었습니다. 어쩔 수 없이 시간이 얼마 남지 않아 Autopsy로 인터넷 아티펙트, 이메일, 그 외 필요한 것들 한개씩 돌려서 가까스로 문제를 풀었습니다. USB 허브를 나눠주지 않는 문제USB 허브를 나눠달라고 시험 초반에 요청했는데, 감독관이 마우스를 뽑아서 증거USB를 획득하시라고 그러더군요.준비가 안되었구나 하고 생각했는데, 한참 시험 진행중에 고개를 들어보니 허브를 한가득 들고 제 옆을 지나가더군요. 시험 출제자 및 감독관들은 정신차려야합니다.

안녕하세요 쉽게 따라하는 삭제 복구 강의를 듣고 따라하는데 FTK 파일리스트에 있는 삭제된 파일을 우클릭했는데 export files를 포함해 비활성화되어 있어 클릭을 못합니다어떻게 해야 할까요?

시험장에서 인케이스 동글은 지급받았는데 허브를 죽어라고 안줘서 결국 레지스트리 수정해서 ftk로 이미징 떴습니다. 어찌저찌 분석하고 복구 다 한 다음에 답안 USB에 답안지를 저장했죠.그런데 지금 생각해보니 레지스트리 쓰기방지를 안껐었어요. 그런데도 문제지 답안은 잘 들어갔다고 생각하고 마무리 지었었는데... 계속 USB에 답안 안들어가 있으면 어쩌지.. 라는 고민이 생기구요, 설사 잘 들어갔다고 해도 그것대로 문제인게 쓰기방지 안한상태로 이미징뜬거잖아요? 그것도 문제고.. 그냥 하던대로 encase에서 fast bloc썼으면 문제 없는데 주최측의 허술한 준비가 진짜 아쉽네요. 잠은 안오고 계속 생각나서 써봅니다.. 문제 없겠죠

 좀 걱정되는게 USB를 이미징하고 FTK에 올렸을때 문제가 되는 파티션4만 별도로 raw파일로 export한 후 hxd로 복구하였고 해당 복구파일만 증거로 담았는데 괜찮을까요? 그리고 writeprotect를 regedit으로 걸고 안풀고 답안 usb에 담은거 같은데 파일이 다 들어가긴 한거 같거든요? 문제 없겠죠?

안녕하세요 오늘 23회 실기 시험을 치게 되었습니다.다름이 아니라 1번 문제가 증거 USB를 사본 생성 후, 훼손된 파티션 부분을 복구시키고 그 과정을 서술하라는 문제였습니다.제가 1번 답안 문제에 usb사본 생성 후 '제출하시오' 라는 말이 없어서 해당 이미징 파일(.E01)을 제출하지않았는데 이 부분 혹시 문제가 있을까요? 답안용 usb에 혹시 몰라 그냥 넣을려고 했는데 용량이 부족하다고 떠서 넣지 못하고 각 번호별 답안과 그 답안의 증거물 들만 제출하고 나왔습니다....제출용 usb 용량이 14.5?14.4GB정도 되었는데 .E01으로 이미징 해보니14.4GB 정도 나와서 넣어보려했지만 용량이 부족하고 너무 커서 안된다는 식으로 떠서 압축하여 넣어보려고 해도 안되서 넣지 못하고 나왔습니다.시험은 끝났지만 불안해서 여쭙고 싶습니다....

23회 실기시험에서 Autopsy로 시험을 치렀습니다. 다른글에도 분석하는데 2시간씩 걸렸다는 글이 있던데 이번에 저 역시 첫실기에 분석하는데 몇시간 걸리고 우왕좌왕 하느라 제대로 문제도 풀지도 못했습니다.ㅜㅜ 일단 제가 실력이 부족해서 그렇다 생각합니다. Encase랑 Autopsy랑 분석하는데 걸리는 시간이 다른가요? Encase는 몇시간씩 안걸린다면 다음엔 프로그램을 바꿔서 칠까 생각중이네요.주변에서는 준비하는 사람도 없고 혼자하다보니 저만 그런건지 궁금하네요ㅜ

강사님 안녕하세요.너무도 좋은 강의 잘보면서 시험 준비 중에 있습니다.다름이 아니라 실습3번 시나리오 문제풀이 중궁금중이 생겨 질문드립니다. 올려 주신 정보저장매체에는 3개의 파티션이 존재하는데그 중 2개는 복구가 필요하고, 1개는 바로 확인이 가능한 것으로 파악되었는데  이 바로 확인이 가능한 3번째 파티션의 경우 HxD 를 이용하여 MBR 테이블 확인했을 때 어째서 3번째 파티션 영역에 3번째 파티션 BR에 대한 값이 들어가 있지 않은지 개념에 대하여 궁금증이 생겨 질문이 드립니다.

안녕하세요, 시험 하루 전 실제로 보고서 작성을 하다보니 고민되는점이 있어 문의남깁니다!!예를들어 스테가노그래피, 시그니처 훼손등의 경우 추가작업(hxd로 값을 바꿔주고 등등..) 이 필요한데, 답안을 처음부터 작성하는것이 아니라 메모장에 그러한부분을 메모해두다가 마지막에 답안을 작성하잖아요. 이렇게 될경우 답안작성시 hxd로 작업을 하는 중간과정 등의 캡쳐가 생략이 되는데 (또 멘토님께서 실제로 답안올려주신것을보면 결과만 적혀있긴합니다.) 이런것들이 삭제가 되어도 되나요?ex: OOO.jpg 를 ~~로 분석해보니 .png파일과 .gif 파일이 은닉되어있었고 이런내용이다 - . 의 결과론적인 이야기만 있어도되는것인가 해서요. (hxd로 분석해보니 이러한 시그니처가있어 이런파일이 은닉되었고 (캡쳐) 등의 자세한 내용은없어도되는지, 있다면좋은지 알고싶습니다..!) 채점기준을 모르니까 답답하긴한데.. 최대한 자세하게 작성하는게 나을지 급 고민이되어 질문남깁니다 ㅠㅠ감사합니다..!

안녕하세요, 아래와 같이 prefetch 파일을 추출해서 확인했는데,Last Run Time이 Run Counter 개수(64개) 만큼 나오지 않고 있습니다. 혹시 어떤 백엔드나 트랜잭션 등으로 인해 사용자가 실행시키지 않아도 자동으로 실행되는 프로세스라서 중복되어 여러번 실행되었을 가능성도 있을까요?  

시험과정에서 레지스트리로 쓰기방지한 후에 두개의 usb를 연결시킨 후 증거 usb 이미징이 끝나고, 증거 usb는 바로 빼도 되는걸까요? 답안 제출 과정에서 레지스트리에서 WriteProtect값을 0으로 변경 후 종료하고 답안제출 usb에 답안을 붙여넣기하면 되는 건가요?시험장에서 당황할 수 있을거 같아서 여쭤봅니다 ㅠㅠ

윈도우11은 10과 다르게 탐색기에서 체크하는 부분이 보이지 않는데,아래와 같이 보기 옵션에서만 체크하면 보이긴 합니다.이정도로만 해도 되겠죠? 

혹시 최근 시험에 종합보고서를 제출하라는 문제가 있었을까요?단순 문제별 답안/풀이내용이 아닌, 전체적으로 종합해서 하나의 보고서 형식(서론/본론/결론)으로 만들어야 하는 문제가 나왔다고 들었는데, 최근에도 나왔는지 궁금합니다. (배점이 좀 컸다고 하더라구요..) 그리고 분석 보고서 작성 시 타임라인으로 기재할 때,시간의 흐름은 MAC Time 중 Autopsy>Metadata에서 제공하는 Create Time으로 하면 될까요?

문제풀이 과정에서 몇가지 궁금한게 있어요. 유출된 파일을 찾으라거나 특정 md5값을 가지는 파일에 대한 문제나 이런것들은 autospy에서 파일 수집 해서 문제풀이 폴더로 옮겨야하는걸로 확인했는데 그 이외 다른 문제들은 어떻게 해야하는건지 궁금해요1. 증거사본 이미지를 생성하고 무결성을 입증하시오.해당 문제는 FTK imager을 통해서 사본 생성 후 해당 파일을 복구 및 위변조 없이 그대로 문제풀이 폴더에 저장하면 되나요?? 2.수집한 증거 USB를 복구하고, 복구방법에 대해서 상세히 기술하시오1번에서 수집한 사본이미지를 hex 도구를 이용해 복구 후 FTK Imager에 올려 정상 복구된것을 확인하고 복구 완료한 이미지 파일을 문제풀이 폴더에 저장하면 되나요?? 3.수집한 증거 USB 매체 볼륨 중 운영체제가 설치된 볼륨의 ① 파일시스템의 종류 ② 총 용량 ③ 총 섹터수 ④ 클러스터의 크기를 기술하시오FTK Imager에서 운영체제가 설치된 볼륨만 export해서 문제풀이 폴더에 저장하면 되나요??

안녕하세요!  여태까지는 원본이있으면 원본을 대상으로 e01 이미징한다 > 복구해야할 경우 dd파일로 재이미징.이렇게 생각하고 있었는데요. exfat 추가강의영상을 듣고나니 용량문제로 e01으로 뜬 이미지파일을 올렸으니 이걸 raw파일로 이미징해서 사용하라고 말씀하신걸 봤습니다. 생각해보니 시험장에서도 요즘은 이미징된 형태로 이미지 사본을 준다는 걸 강의에서 들은것같아서, 궁금한것이 1) 시험장에서 제공되는 파일은 (이미징파일을 줄경우) e01을 주는게맞나요?2) e01으로 열어봤는데 파티션이 손상되었을경우 ftk imager에서 creat disk image 후 원본 매체 image 선택 - 제공받은 e01 선택 - 이걸 dd포맷으로 다시 재이미징하는게 맞나요?3)이해한게맞다면, 어떻게 원본이아닌 e01으로 압축된 이미지를 dd(raw)포맷으로 재이미징?변경될수있는것인지 궁금합니다..  

EnCase를 사용하지 못하는 환경이고, 시험장에서 제공되는 프로그램만을 활용하여 한글파일 내부구조를 확인할 수 있는 방법이 있을까요?

BitLocker 실습 도중 FTK Imager에서 'Add Drive Failed' 오류 발생 하였고,탐색기 확인 결과 FAT32로 G드라이브 생성되었습니다. (안에 내용은 없음)*E01, 001 파일 모두 동일  그리고 저는 말씀하신 HxD에서 193,854 뒤 내용이 없습니다.   

안녕하세요. 보충 강의 Bitlocker 수강 중 실습과정에서 문제가 생겨 질문 드립니다.강사님이 영상에서 짚어주셨던 내용 그대로 진행하였음에도 불구하고 FTK Imager에서 이미지 생성 시 배드섹터가 발생해 내부 파일이 보이지 않는 문제가 있습니다. 실습 과정은 아래와 같습니다.실습 이미지를 FTK Imager에서 오픈(Image File로 선택하여 오픈)이미지 마운팅을 위해 [Evidence Tree]에서 해당 이미지 파일 우클릭 -> [Image Mounting]마운팅 관련 옵션을 영상과 동일하게 설정한 뒤, 마운트 버튼 클릭(이때 영상과는 다른 오류가 발생하며 윈도우 경고 메세지 출력. 하단에 사진 첨부)마운트된 파티션의 bitlocker 복호화 수행(복구키만 입력, bitlocker를 끄진 않음)복호화가 완료된 파티션을 FTK Imager에서 [Logical Drive]로 선택하여 이미지 재생성Bad Sector로 인해 내부 파일이 보이지 않음 트러블 슈팅중 시도해본것들은 아래와 같습니다모든 파일의 경로에서 한글을 제외이미지 재생성 시 Physical Drive로 선택관리자 권한으로 FTK Imager 실행복호화가 완료된 파티션의 bitlocker 기능을 끄고 이미지 재생성이미지 생성 시 DD파일, E01파일로 생성(둘다 동일하게 배드섹터 발생)이미지 마운트 시 쓰기가능으로 설정하여 생성위와 같은 시도에도 불구하고 모두 배드섹터 발생하였습니다.아래는 실습 과정 3번에서 발생(이미지 마운팅 중)한 오류화면과 배드섹터 오류 로그입니다.  뭐가 문제일까요 ㅜㅜ 

안녕하세요~ 자꾸 질문드려 죄송합니다. 실습 시나리오4에서 어느 파일을 추적하면서 NTFS Log Tracker로 확인한 debug.txt 파일에 대해서해시값을 작성하려고 메타데이터를 봤더니, 아래와 같이 해시값이 확인이 되지 않습니다.혹시, 확장자가 변조(docx->txt) 되어서 그런 걸까요? 그래서 HashCalc를 사용하였더니 해시값이 나왔는데, 이 값을 작성하면 될까요? NTFS Log Tracker를 사용해서 확인해야만 하는 상황이 어떤게 있을까요? 생각보다 시간이 오래걸려서 보편적인 방법으로도(시그니처 훼손, 확장자 변경 등) 파일 확인/추적이 안될 시 사용하는 걸까요?  

안녕하세요,시나리오 4에서 알려주신 방법대로, vmdk 파일을 FTK Imager로 raw 파일로 이미징하여도 오톱시에서 아래와 같이 오류가 나옵니다.혹시 조치 방법이 있을까요? (경로 문제 등..)FTK Imager에서는 파일시스템 잘 보입니다.  FTK Imager로 Raw로 이미징