다름이 아니라 비트라커가 시나리오상 적용되어 있는 이미징이 있다고 가정하면, 비트라커 이미지 원본 자체도 증거 무결성이 유지되어야 한다고 생각하는데, FTK Imager에서 Mount Image To Drive로 마운트 할 때, Mount Method를 Block Device / Read Only (기본값)으로 설정하여 적용해서 마운트 한 뒤, 복호화 키를 사용해서 비트라커 매체에 접근이 가능해진 상태에서는 BitLocker 끄기를 하면 읽기 전용 매체라는 팝업이 나오고 꺼지지 않습니다즉, 해당 비트라커가 적용된 이미지의 BitLocker를 끄려면 FTK Imager에서 마운트 할 때 애시당초 Read Only가 아닌, Block Device / Writable 상태에서 마운트 후, 복구 키로 락을 풀고서 비트라커 기능을 끈 후, 이미징을 해야 정상적으로 내용이 출력되더라구요이런 경우 제가 잘 몰라서 읽기 전용이 아닌 쓰기 가능으로 설정한 상태로 마운트를 해야하나요? 아니면 비트라커가 적용된 증거 이미지를 복사 후, 해당 원본은 두고 복사된 파일을 가지고 수행해야하나요?

기존에 Autopsy configuration ingest에서 Extension Mismatch Detector에 application/x-hwp-v5에 hwp만 추가하여 넣었는데, 타 파일들은 docx, pptx 등 x 확장자가 추가로 있다는게 생각이 나서 질문드립니다혹시 hwpx를 넣어놔도 무방할 것 같은데 동일하게 application/x-hwp-v5에 hwpx를 추가해도 될까요? (등록 테스트하니 등록은 잘됩니다만 문제가 있을지를 몰라 문의드립니다)

강의는 Autopsy로 진행하기 때문에 Encase를 제외하고 모두 보았습니다. 시험이 얼마 남지 않아 법률과 모든 부분에 대해 다 암기는 완료하였고 곧 문제풀이와 부족한 부분 다듬는데 시간 소요할 예정입니다![시험 과정]- 수험 번호 및 좌석 확인- 주의 사항(출력물, 칠판, 벽보 등) 확인- 시험 시작 전까지 '컴퓨터 전원' X- 이름 기입 시, 불합격이니 반드시 수험번호만 작성- 보고서 작성 프로그램은 HWP, WORD 중 택 1- 제출 파일 모두(기타 임시 저장 파일 포함) C 드라이브 제외 타 파티션에 저장하고 실기 시험용 폴더 생성(수험번호 폴더 하위 문제 1, 2, 3... 폴더 생성)- 컴퓨터 전원 구동 후, 답안 제출용 USB 연결하여 정상적으로 인식되는지 확인- 탐색기 보기 옵션 파일 확장명, 숨긴 항목 + 옵션의 '보호된 운영 체제 파일 숨기기(권장)'과 '알려진 파일 형식의 파일 확장명 숨기기' 체크 해제- 시나리오 및 문제 확인하여 키워드 체크- 법 문제 체크 후, 어떤 법에 해당하는지 정도만 적기(포렌식 툴 로딩 등의 잔여 시간에 법 문제 작성)- 쓰기 방지 설정 전까지 절대 증거 USB 연결 금지- 시나리오 진행하며 틈틈히 캡처 및 메모장에 연관 내용 작성해가며 진행- 가장 쉬우나 Autopsy에서 분석 로딩에 시간이 걸리는 문제 먼저 풀기 -> 툴에서 직관적으로 1차 정보(볼륨 훑기, 암호화 파일, 이미지 파일, Signature/MIME 비교 등) 파악 -> 2차로 1차에서 수집된 대상의 추론 및 상세 탐색 등 잔여 로그들 자세히 확인하며 보고서 작성 진행혹시나 위에서 미흡한 부분이 있다면 정정 또는 추가 부탁드리겠습니다. 강사님이 주신 모의 문제로 시간 측정을 해봤을 때 컴퓨터 성능이 좋은 조건으로는 3시간 내에서 마무리가 됩니다. 남은 기간 더 탄탄히 준비하겠습니다 감사합니다!

22회 실기시험 준비중인데, 실제 시험장에서 사용할 Tool 중에서 Veracrypt는 목록에 없어요그런데 VHD 암호화 문제가 출제되면 어떤 다른 프로그램 사용할만한게 있나요?

이전에 vmware를 사용해본적이 있었는데, 저번 시험 시험장 제공 파일에는 vmware의 확장자 파일이 여러개(6~8개 이상으로 기억)가 있어서 어떤 파일을 가상화 머신으로 돌려서 분석해야하는지 당황했었습니다. 그래서 여러가지 파일을 가상화 프로그램으로 열어보앗는데 제대로 구동되지 않아 거기서 더 당황을 했었는데....os가 설치되어 있는 파일이 선택 될 때까지 일일이 열어보았어야하는것인가요?

처음 케이스 생성 시 위 오류 창이 뜨면서일단 무시하고 keyword search에 solr index를 체크할 경우 아래와 같이 분석이 시도조차 되지 않으며만약 solr index를 체크하지 않은 경우 다른 분석은 허용되나 오톱시 우측 상단에 강의에서 keyword를 찾을 때 사용하는 도구가 비활성화되면서 클릭이 안됩니다 ㅠㅠ 제가 구글링하면서 https://sleuthkit.org/autopsy/docs/user-docs/4.21.0/install_solr_page.html#install_solr_heap_usage에 나와있는 절차도 다 수행해 보았지만(위 링크에서 제공하는 solr 다운하여 절차에 맞추어 실행) solr이 켜져도(http://localhost:8983/solr/#/ ; 해당 링크에도 접속 가능) 똑같은 문제가 반복되네요 ㅜㅜ 디지털포렌식 전문가 전에 apache solr 전문가 되겠어요 ㅋㅋ큐ㅠ 혹시 해결법을 아시거나 해결을 못하는 경우에 공부법 좀 알려주세요 ㅠㅠ 그리고 시험장에서도 이럴 수 있을 것 같아요 .... 어떡하죠...

안녕하세요. 시나리오 실습 중 궁금한 사항 문의드립니다.최초에 증거USB를 E01으로 사본 이미징을 하고 답안 폴더에 저장하고, 이후에 파티션을1,2,3 복구한 001 파일도 같이 증거 자료로 제출해야 하나요? 아니면 최초 E01으로 생성한 사본 이미지만 있으면 되나요?

D드라이브를 만들어서 해보려고 해도 되지 않고 배경화면에 저장하려해도 되지 않습니다. 어떻게 해야하나요..?

- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요. 안녕하세요 ! 맥과 윈도우 둘 다 가지고 사용하고 있는 수강생입니다. 혹시 디지털 포렌식을 공부할 때는 윈도우 노트북으로 해야할까요??

안녕하세요~ 실기 툴 관련 질문드립니다. 1)실기 시험 분석 중에 Encase, autopsy를 동시에 사용해야 할 경우가 있을까요?2)Encase로 쓰기방지 설정을 하고, 중간에 Encase를 종료하면 쓰기방지 설정 해제가 되는건가요? 2-1)쓰지방지 설정은 증거USB에서 사본을 생성할때만 유지가 되면 되는건가요?

Windows Registry 실습에 사용하는 rega 프로그램 사이트가 안 들어가집니다. 403 Error가 뜨면서 사이트가 아예 들어가지지 않더라고요. 실습은 꼭 직접 하면서 따라가 보고 싶은데, 혹시 프로그램 압축 파일을 받을 수 있을까 하여 글 작성합니다.

안녕하세요. 오늘 디지털포렌식2급 필기요약집을 구매했습니다!!먼저 요약본이 거의 없던 분야였는데 정말 깔끔하게 정리해주셔서 감사드립니다!!~제가 방금 다운받았던 파일이 작년8월버전이던데마지막시험이 작년10월이었어서 혹시 그 시험은 반영이 안되었는지,제가 다운받은 파일이 최신파일인지 여쭤보고자 질문남깁니다. 감사합니다:)

안녕하세요. 이미징 사본 생성할 때 문의드립니다.쓰지방지 작업을 하고 증거 USB에 대한 이미징 사본을 생성 작업을 할 때 증거USB에 있는 파일을 노트북에 별도로 복사한 다음에 이미징 사본을 생성하나요? 아니면 증거USB 내에 있는 파일 자체를 이용해서 이미징 사본을 생성하나요?  

쉽게 따라하는 삭제파일 복구 중에 USB.001 다운하려고 들어갔는데 드라이브가 만료됐다네요,, 해결 부탁드립니다.

안녕하세요 이번에 파티션의 BR 분석을 복습할 겸 연습 삼아 dreamhack.io 라는 워 게임 사이트에서 받은 dd파일을 복구하고 BR 분석을 통해서 총 파티션 수, 섹터 당 바이트 수, 클러스터 당 섹터 수 등을 찾아봤는데 다른 것들은 다 맞는데 총 파티션 수만 약간의 차이를 보여서 혹시 제가 잘못 계산을 한건지 아니면 프로그램 상의 계산에서 약간의 차이가 생겨서 그런 것인지 잘 모르겠습니다.일단 총 파티션의 수는 E0 FF 1D 00인데 이를 빅 엔디안으로 변형하면 00 1D FF E0이 됩니다.이를 계산기로 10진수로 변형하면 1,966,048이 나오는 것을 볼 수 있습니다.근데 FTK-imager에서는 1,966,080으로 약간의 미세한 차이가 발생하는데 혹시 이러한 현상이 일어나는 이유가 무엇인지 궁금합니다.https://dreamhack.io/wargame/challenges/303dd파일은 위 링크에서 받았습니다 수업 이외의 자료를 가지고 질문을 드려 죄송합니다

D 드라이브의 용량이 146GB 인데, 이미지 소스 파일을 C로 선택했습니다. 어떤 방법을 써도 줄어들지가 않는데 해결 방법을 알고 싶습니다.  학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.

디지털 포렌식 전문가 과정을 이해하기 쉽게 가르쳐 주셔서 재미있게 수강하고 있습니다. 감사합니다.3단원인 네트워크 포렌식 강의에서의 실습 자료인 PCAP 파일과 Defcon#21 파일을 어디서 구할 수 있는지 알 수 있을까요? 드라이브에 파일이 존재하지 않아 자료를 찾는데 어려움이 있습니다. 답변 부탁드립니다. 감사합니다.

해당 강의를 기반으로 해서 네이버 블로그에 정리해 학습할려고 하는데 혹시 가능할까요..?

강의 감사합니다. 제가 너무 초보라서 한심한 질문일 수 있겠지만, 저의 경우에는 autopsy 다운이 안됩니다. 제가 다운경로를 따라서 다운하려고 했더니 "autopsy_4.21.o-64bit misi는 일반적으로 다운로드 되지 않습니다"라는 메세지가 뜨는데요. 어떻게 해야 할까요? 감사합니다.

안녕하세요.</>드디어 11강을 시작하게되어 Ence 프로그램을 접하게 되었는데요. 아래와같은 질문이 있습니다.[1]Ence는 동글이 없으면 작동이 안되나요?[2]시험장에도 동글을 지참해서 가야하나요? 위의 두가지 질문을 드립니다.