안녕하세요. 시험을 앞두고 궁금한게 있어서 질문드려요. 다음과 같은 순서로 진행하면 될까요???1) 쓰기 방지 설정2) 증거 USB 연결 후 사본 생성3) 사본생성 완료 후 증거 USB 분리4) 쓰기방지설정 해지5) 분석 진행

안녕하세요,  NTFS 파일 시스템 복구시 BR복사본 위치는 (파티션섹터 마지막에 존재) BR위치 + NTFS 전체섹터 크기 -1 이라고 강의에서 알려주셨는데, *이때 NTFS 전체섹터크기는 MBR 확인 MBR이 없는경우 NTFS 전체섹터의 크기는 어떻게알수있을까요? 피피티를 보다 궁금증이 생겨 질문드립니다! 감사합니다:)

안녕하세요 USB 관련해서 시리얼번호 작성할 때ex) 1234567891234&0 인 경우,&0까지 작성하는 것이 맞을까요? 아니면 숫자부분만 작성하는 게 맞을까요?

Volume Shadow Copy관련하여 추가강의 혹시 부탁드려도 될까요

제목과 같이 23회 실기시험 도구 목록에 veracrypt, VMware가 없을 때,이미징한 파일 중 hc 파일이 나올 확률이 있을까요?  시험장 노트북 로컬 바탕화면은 물론, VM이 설치가 안되어 있으니 VM을 이용할 문제도 안나온다고 봐도 될까요?

안녕하세요실습파일 용량 제한으로 인해 6개로 나눠서 업로드해주셨는데,7z로 되어있는 6개의 압축 파일을 어떻게 해야 1개 파일로 합칠 수 있는지 문의드립니다 ㅠㅠ예를 들어 수사관의 usb를 모두 압축 해제해서 아래와 같은 파일이 6개 나올텐데 한 폴더 안에 모두 넣어서 해야 하는건지 잘 모르겠습니다..     

선생님 안녕하세요. 항상 좋은 포렌식 강의를 찍어주셔서 정말 감사합니다. 다름이 아니고 파티션 복구와 관련한 질문이 있어서 질문 글을 남기게 되었습니다.강의를 보면서 21회차 시험에 MBR대신 GPT로 출제가 되었다고 들었습니다.만약 실제시험에서 GPT로 출제된 상태에서 파티션이 훼손된다면, 기존에 MBR에서 배웠던 대로 복구를 하면 되는 것일까요?따로 개인적인 검색을 통해 찾아보긴 하였으나 GPT 파티션 복구에 대한 내용이 잘 이해가 되지 않아 고견을 여쭤보고 싶습니다.바쁘신 와중에 죄송합니다. 다시 한번 좋은 강의를 찍어주셔서 감사합니다! 

[Autopsy]실습 시나리오 풀이 2-2 중 아래와 같이 궁금한게 있어 질문드립니다. 파일의 시작섹터를 보려고 아래와 같이 FTK Imager에서 확인해보니 시작섹터가 안나옵니다. 하지만, Root에서 우측에 파일을 클릭해야만 제대로 나옵니다.   ※ 개별 파일의 시작 섹터를 확인하려면, 반드시 Root에서 찾아서 확인해야만 하는 걸까요?

실습문제를 더 풀어보고싶던 차에좋은 문제 제공해주셔서 감사드립니다!! 덕분에 아직 부족했던 항목들에대해서연습도 되고, 아직 숙달하지못한곳들 확인할수있었습니다 다름이아니라 제가 3번문제와 관련해서 샘플 찾을때, log tracker를 활용하지않고 풀이했는데 해당방법이 유효한 방법인지 궁금해서 문의드립니다ㅠ *첨부파일 save 되길래, 추출된 파일을 어떻게든 열어보려고 시도하다가 성공했는데 해당방법으로 풀이해도 되는지 궁금합니다!...*풀이과정: 이메일 파일중에 첨부파일을 저장후 열어보려고했으나 오류발생>> HxD이용 시그니쳐 등 분석>>Base64 인가싶던차에 Autopsy의 ,Data Artifacts항목의 이메일 Header 관련 분석화면에서 "content-transfer-encoding: base64" 확인 >> cmd 에 제공되는 certutil 명령어 옵션 -decode 이용해서 복호화시도>> 정상적으로 파일열리는것 확인 *풀이요약: 이메일 첨부파일을 certutil -decode (cmd명령어) 이용해서 파일을 복호화하여 내용확인했는데 유효한방법인지 궁금합니다...실습할때마다 뭔가 놓치는 것들이 한두개보이는것같은데 잘 정리해서 남은기간열심히 준비해보겠습니다 좋은강의 제공해주시고, 질문드릴때는친절하고 상세하게 답변해주셔서항상 감사드립니다!!

안녕하세요, 이제 막 시험준비를 시작한 학생입니다.다름이아니라 autopsy를 이용한 강의를 듣던도중 해당툴은 제공되는 기능이 더적고 이미징시간도 훨씬 오래걸린다는점을 알게되었습니다..ㅠㅠ( 섹션 8 autopsy 1의 이미징돌리는데 30분이지나도 49%입니다..)궁금한점이,섹션8 이미징시간이 원래 이렇게 오래걸리는게 맞나요?23.10월이후 encase 질문은 안받는다고하셨는데(그래서 시험준비시 autopsy를 선택한것이기도 합나다) 그이유를 알수있을까요?제목과 같이, 두개의툴을 모두사용할수있는 상황인데 autopsy와 encase 중 어떤 툴이 더 시험보기에 편한지 궁금합니다.둘다 평소에 사용하지않은툴이고 이제배워나가야하기에 현실적으로 시험에서 더편한 툴을 알고싶습니다!강의에서 최근 사례는 autopsy를 이용한 툴밖에없어서 고민됩니다..ㅠㅠ

우선 시나리오4 만드시고 강의하시느냐 고생 많으셨습니다. 개인적으로 스스로 수준을 검토하고 부족한 부분을 파악하기에 좋은 연습문제였다고 생각합니다. 다시한번 양질의 교육자료와 강의를 주신 강사님께 감사드립니다. 풀이 중 한가지 궁금한 점이 있어 문의드립니다. 시나리오 상 토렌토를 통해 받은 파일 중 첫번째 list.torrent 파일의 확인내용입니다. Log tracker로 확인시 해당 파일은 $RZ42HMH.torrent로 자동변경되어 휴지통으로 들어갔고 이내 삭제되었습니다. 삭제된 파일은 Autopsy 분석 삭제파일에서도 찾을 수 없었습니다.이렇게 삭제된 파일에 대해서는 파일을 확인 할 수 없는 것인지 궁금합니다. 이때 Deleted File에서 복구하여 확인할 수 있는 파일과의 차이점도 궁금합니다.

안녕하세요, 비트라커 관련 마운트 한 드라이브를 로지컬로 이미징하라는 강의는 잘 보았습니다.그러면, 처음에 FTK를 통해 USB를 이미징하는것도 로지컬로 하는 의미인가요? 그거는 피지컬로 하면 되죠???그러니까, 마운팅한 드라이브를 이미징할떄는 로지컬로 하면 되고, 다른 이미징은 피지컬로 하면 된다는 말씀이신가요?답변 부탁드립니다!!

안녕하세요, 이미지 관련해서 좀 헷갈리는 부분이 있어 질문 남깁니다. 최근 시험에서는 실제 증거인 원본 USB를 제공하지 않고,증거 원본을 이미징한 사본 이미지 파일을 담은 (단순 저장용) USB를 제공하는 것 같습니다.이럴 경우 쓰기 방지를 하고 create disk image에서 physical을 선택 하여 imaging을 하는 과정은 필요하지 않고 바로 FTK Imager로 해당 이미지 파일을 열어서 구조를 확인해보는 방향으로 하는 것이 맞을까요?그런데 또 강사님 22회 시험 리뷰1 강의를 보면 (43분 58초) 해당 usb에 대하여 쓰기 방지 절차 진행 후 usb연결 후 이미징을 뜨라고 하셔서 이 부분이 좀 헷갈리네요.. 좋은 강의 항상 감사합니다!

별도로 파티션 복구 실습을 위해 제가 가지고 있는 USB 를 E01으로 이미징하여 (FTK Imager사용)해당 이미지 파일을 FTK Imager와 HxD로 헥사값을 비교 해보았으나, 두 프로그램에서의 데이터가 틀린값이 나오는데 왜그런건가요 ??FTK Imager에서 NTFS 구조가 보이는 반면 HxD 로 보면 이상한 값이 현출되어 멘붕왔습니다. 무엇을 잘못한걸까요?위는 FTK Imager로 보았을때 .아래는 HxD 로 보았을때추가적으로 동일 USB를 DD 파일로 이미징 해보았으나 이값 또한 전혀 다른 이상한 값이 현출됩니다.. 정리하자면,① 동일 USB 이미징 파일(E01)이 왜 두 프로그램에서 이상한 값이 현출되는지 ?② 동일 USB로 DD 파일로 이미징 하였을때 E01 이미징한 파일과 왜 값이 틀려지는지 ?실제 시험장에서 이러면,,,,상당히 당황스러울껏같습니다..

안녕하세요NTFS의 BR 복사본을 복사하여 BR에 붙여넣기 쓰기 하려고 했더니아래와 같은 오류가 나옵니다.혹시 어떤 이유인지 알 수 있을까요?다른 프로세스에서 사용중인 건 없습니다. 

혹시 아래와 같이 직관적으로 MBR과 BR을 쉽게 구분하는 방법이 있을까요?(예시)MBR : Press Ctrl+Alt+Del to restart ..........가 없음, 바로 다음 섹터에 BOOTMGR이 없음BR : Press Ctrl+Alt+Del to restart ..........가 있고, 바로 다음 섹터에 BOOTMGR이 있음 

EnCase를 사용할 수 없는 환경이라서 문의드립니다. 어차피 이미징 할 때는 FTK Imager로만 하고, EnCase를 사용하지 않을 것이기 때문에,EnCase를 활용한 FastBloc SE 쓰기방지 설정은 하지 않고, 윈도우 레지스트리로만 해도 무방한지요?

안녕하세요 답안 제출 관련 문의드립니다.실기시험 시 문제10번까지 있는 경우문제를 풀며 D드라이브에 만들어놓는 것처럼 각 문제별 폴더화한 후 답안제출용 USB에 복사/붙여넣기해서 제출해도 되나요?(제공해주신 시나리오1의 완료보고서처럼 1개 파일로 만들어서 완성본 보고서를 제출해야할 것같아서요..)폴더화하는 경우 답안 hwp 외 '증거파일(원본)' 넣어도 되나요? 예를 들어 문제1 폴더 내 .hwp 외 '증거파일 폴더(원본 증거파일 수록)'

안녕하세요, 실기 시험 준비로 도저히 EnCase를 사용할 수 없는 환경입니다.혹시, FTK Imager, Autopsy, LNK Parser 등 무료 Tool만으로도 실기 시험보는데 문제가 없을까요?(물론, EnCase가 없으면 다른 프로그램에서 봐야하는 등 번거로운 절차가 추가되는 건 상관 없습니다.) 예를 들어 아래 Autopsy 코스만 익혀도 실기시험 합격하는데에는 문제가 없는지 궁금합니다.2. Autopsy 코스(아래 5번까지 모두 무료인가요?)  1) Autopsy 4.20.0  2) FTK Imager 4.7.1.2  3) HxD 2.5.0.0  4) REGA 1.5.3(DFRC)  5) LNK Parser(DFRC) 결론적으로 무조건 EnCase를 활용해야만 풀 수 있는 문제가 있는지 궁금합니다..........

① 강의에서는 압축해체시 c-time 변경된다고 설명 되어 있으나, 기존 윈도우에 있던 파일 (txt, xlsx)을 압축 후 해제하여mac 타임을 비교해보았는데 c-time 변경된 사항이 없습니다 .※ 어느것도 변경된 정보가 없습니다.② 단순 파일을 열고 닫을시 a-time등 변하지않나요?- 테스트 당시에는 변하지않음 ③ 위와 별게의 질문으로 파일의 논리적 크기의 값 정보는 있으나 디스크 할당크기가 0바이트로 표기되는 파일이 간혹있는데 어떤 이유때문인가요?