디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

안녕하세요!

제목이 조금 거창한데, 얼마전에 오프라인 강의 또는 스터디그룹 운영에 대해 요청을 주신 분이 계셔서 관련된 설문을 진행했었죠 ?

많은 분들이 참여를 해주신 것 까지는 아니지만, 그래도 그 안에서 의미있는 의견들을 모을 수 있었습니다.

그 중 가장 눈에 띄는 부분이 응답자 전원이 스터디그룹 참여를 희망하지만 어떻게 찾아야할지를 몰라서 못하고 있다는 의견을 주셨어요.

제가 직접 오프라인 강의나 스터디 그룹 운영을 한다면 여러가지로 좋겠지만 현실적으로 어려움이 있다보니

죄송한 마음을 담아서 대신 스터디를 찾는 분들을 연결해드릴수 있는 작은 공간을 하나 마련했습니다.

https://padlet.com/nstyxn/DF_study

위 스샷처럼 스터디 참여를 희망하시는 분이 일정한 양식에 맞춰서 포스팅을 남기시면 해당 지역을 핀으로 표시해서 직관적으로 찾을 수 있게 해주는 형태입니다.

함께 공부할 스터디멤버나 스터디 그룹을 찾으시는 경우 이 곳에 등록을 해두시거나,
이 곳에서 확인 후 기재된 연락처로 문의하셔서 그룹이 만들어지도록 돕는게 목적입니다!

패들렛(https://www.padlet.com)에서 제공하는 서비스를 이용한 것으로 무료 회원가입후 이용이 가능합니다.
(Web/App 모두 이용가능하며, 비회원으로도 가능은 하지만 포스팅 후 수정이나 삭제 등 관리 및 비수강생분들도 이용하기에 예방차원에서 부득이하게 로그인 하셔야 이용이 가능하게 설정해뒀습니다!)

이용시 반드시 지켜주세요!

1) 목적에 맞게 이용해주세요!
- 일반 게시판처럼 많은 이야기를 나눌수 있는 형태가 아니다 보니 큰 걱정은 안되지만
그래도 수강생 여러분 뿐 만 아니라 모두에게 공개된 곳이다보니 문제될 일이 없도록 목적에 맞게 이용부탁드립니다
- 현재는 포스팅시 별도의 허가 없이 자동 포스팅 되지만, 문제가 될 경우 운영자 확인 후 등록하는 방법 등으로 변경될 수 있습니다

2) 게시 양식을 지켜주세요!
① 현 거주지역(시·군 단위)을 검색후 선택 (세부주소가 아닌, 거주하시는 시나 군으로만 남겨주세요)
예) 서울특별시 강남구 X▶서울특별시, 서울특별시 강남역 X▶서울특별시

② 연락가능한 이메일 주소를 남겨주세요
- 해당 지역에서 거주하는 스터디 희망자 분들이 연락할 수 있도록 이메일 주소를 꼭 남겨주세요

③ 이메일주소를 제외한 개인정보는 금지입니다!
- 개인정보 보호를 위해서 휴대폰 번호 등 이메일 주소를 제외한 추가적인 모든 개인정보는 절대 남기시면 안됩니다!(이 부분은 제가 확인시 해당부분 강제 수정 예정입니다)

④ 위치 선택 후, 제목의 필요 없는 부분을 정리해주시면 더욱 좋습니다!
예) South Korea, 인천광역시 ▶ 인천광역시

3) 스터디 운영은 100% 자율 입니다
이 공간은 만남을 연결해 드리는 역할만 합니다. 스터디의 진행방식, 장소 및 일정 조율등은 해당 스터디 참여자분들께서 자율적으로 이끌어주세요~

4) 매칭 완료시 게시글 삭제 부탁드립니다
원하시는 인원으로 스터디 구성이 완료가 됐다면, 패들렛에 게시한 글은 삭제해주세요 !

5) 주변에 많이 알려주세요~
제 강의를 수강하시는 수강생분들만으로는 수도권을 제외한 나머지 지역의 스터디 구성이 원활하지 않을 것으로 생각됩니다. 강의를 듣지 않는 분들도 모두 참여해서 지방에서도 원활히 스터디 그룹 활동을 하실수 있도록 주변에 최대한 많이 알려주시면 도움이 되실 것 같습니다 !

이용방법 안내(모바일 기준)

1) APP 설치
Apple App store / Android Play store 에서 'Padlet' 검색 후 설치

2) 회원가입

3) Plan 선택

무료 계정인 'Neon' 선택

4) 합류하기 > 주소 입력

스터디 그룹 매칭 서비스 접속을 위해서 [합류하기] 버튼 터치 ▶ [URL 입력] 터치 ▶ URL 입력
또는 QR코드 촬영

https://padlet.com/nstyxn/DF_study

5) 등록된 스터디 확인

맵 상의 핀을 터치하여 내용 확인

6) 스터디 등록 하기

• 하단의 핑크색 '+' 버튼 터치

• 현 거주지 입력 : 시·군 단위(서울특별시, 인천광역시, 원주시, 김해시, 전주시 등)로 검색 후
  검색결과에서 해당 시·군만 나온 검색결과 선택

  

• 내용에 연락가능한 이메일 주소 + 기타 하고 싶은 말 입력 후 [게시] 버튼 터치
  🎈 이메일을 제외한 개인정보 절대 입력 금지!
  🎈 제목란에 자동입력된 필요없는 내용은 편집해 주시면 더욱 깔끔합니다 !

과연 활성화가 될 것인가 하는 걱정이 되긴 합니다.

별 것 아닌 급조한 페이지이지만 그래도 조금이라도 도움이 되셨으면 좋겠습니다!

현재는 예시를 보여드리기 위해서 [테스트]라는 이름으로 등록된 샘플이 몇 개 있습니다

이 부분은 실제 스터디 모집 글이 포스팅 되면 모두 삭제예정이니 참고해주세요~

Encase를 이용하여 공부를 하시는분들께 죄송한 말씀을 드려야 할 것 같습니다.

23년 10월부터 EnCase와 관련된 강의는 더이상 업데이트 되지 않으며,
질문 역시 답변을 드릴 수 없게 되었음을 안내 드립니다.

답변을 드리기 위해서는 제가 Encase를 사용할 수가 있어야 정확한 답변을 드릴수 있을텐데
Encase를 사용할 수 없게 되어서(안타깝게도 라이선스가 없는 상황이 되었습니다)
Encase 사용이 불가능하게됨에 강의 업데이트 물론, 질문에 대해서 정확한 답을 드릴 수가 없게 되었습니다.

기존에 업로드한 강의와 관련해서 일부 기본적인 내용들은 답변을 드릴 수 있을지 모르겠지만,
궁금하신 점을 직접 프로그램을 사용하면서 영상이나 이미지 캡처의 방법으로 보여드리는 것이 가장 효과적인 점을 생각해봤을때 기억에 의존해서 부정확한 답변을 드리기에는 잘못된 정보를 드릴 수 있다는 판단이 들어서
이런 결정을 하게 된 점 죄송하다는 말씀을 드립니다.

안녕하세요~

추가로 업로드된 강의를 알려드리고자 합니다.

지난 19회 시험에서 파티션 복구에 어려움을 겪으셨던 분들이 많이 계신것 같아서

MBR이 없는 NTFS 단일 파티션의 경우 어떻게 백업 BR을 찾아서 복구를 하는지에 대해서

준비를 해봤습니다.

19회 시험때 어떤 식으로 훼손이 되어있었는지 정확히 확인할 방법이 없어서 그에 대한 정확한 답을

드리기는 어렵다보니, MBR이 없는 NTFS 단일 파티션의 경우 어떤 점들을 체크해야하는지에 대해서

담았으니 도움이 되셨으면 합니다

감사합니다 :)

• 강의확인 : [섹션14. 보충강의] - [[공통]NTFS 파티션의 BR복구]

강의 시청 안내

1. 섹션 0의 강의소개 영상은 반드시 확인해주세요

2. 모든 강의는 [공통] / [EnCase] / [Autopsy] 의 말머리로 구분되어있습니다.

1) [공통] : 사용하시려는 분석툴에 상관없이 공통적으로 보셔야하는 영상

2) [EnCase] : Encase를 사용하는 경우에만 보셔야하는 영상

3) [Autopsy] : Autopsy를 사용하는 경우에만 보셔야하는 영상

사용하시려는 분석툴에 맞춰서 강의가 진행되기때문에

[공통] + [사용하시려는 분석툴]의 영상만 시청해주세요.

예) Encase를 사용하시는 경우 : [공통] 영상 + [EnCase] 영상

Autopsy를 사용하시는 경우 : [공통] 영상 + [Autopsy] 영상

3. 강의 영상을 보시기 전에, 강의 영상의 하단에 있는 노트부분을 확인해주세요~

4. 교재 및 실습 관련 파일의 다운로드는 관련된 강의 영상 상단의 [수업자료] 버튼으로 다운로드 가능합니다.

1) 교재 : [섹션 1. 법이론] - [[공통]법이론 1]

2) 법이론 정리 : [섹션 1. 법이론] - [[공통]법이론 2]

3) 툴 기능 설명 등 기본 실습 이미지

- 파일명 : forensictool.E01

- 다운로드 : [섹션 7. 디지털포렌식툴 사용법] - [[EnCase]EnCase1]

[섹션 7. 디지털포렌식툴 사용법] - [Autopsy]Autopsy1]

※ 분석툴에 맞게 두 곳으로 나눠서 올렸을 뿐 동일한 파일입니다.

4) FAT32/NTFS 파티션 복구용 실습 이미지

- 파일명 : 파티션복구1.zip(FAT32.001 / NTFS.001)

- 다운로드 : [섹션 8. 파티션 복구] - [[공통]HxD를 이용한 파티션 복구]

5) Encase에서의 파티션 복구용 실습 이미지

- encase_partion_break.E01

- 다운로드 : [섹션 8. 파티션 복구] - [[EnCase]EnCase를 이용한 파티션 복구]

※ Encase 전용

6) 실습 시나리오 1(이미지 파일 및 문제, 보고서)

① EnCase 사용시

- 파일명 : [EnCase]시나리오1.zip (019-1-2-345.E01 / 변속기기술유출.001 / [EnCase]시나리오1_시나리오및문제.pdf / [EnCase]자동변속기기술유출_완료보고서.pdf

- 다운로드 [섹션11. 실습 시나리오1] - [[EnCase]실습 시나리오 풀이 1-1]

② Autopsy 사용시

- 파일명 : [Autopsy]시나리오1.zip (019-1-2-345.E01 / 변속기기술유출.001 / [Autopsy]시나리오1_시나리오및문제.pdf / [Autopsy]자동변속기기술유출_완료보고서.pdf

- 다운로드 [섹션11. 실습 시나리오1] - [[Autopsy]실습 시나리오 풀이 1-1]

7) 실습 시나리오 2(이미지 파일 및 문제, 보고서)

① EnCase 사용시

- 파일명 : [EnCase]시나리오2.zip (나보석의usb.E01 / 나보석의usb.001 / [EnCase]시나리오2_시나리오및문제.pdf / [EnCase]귀금속절도사건_보고서.pdf

- 다운로드 [섹션12. 실습 시나리오2] - [[EnCase]실습 시나리오 풀이 2-1]

② Autopsy 사용시

- 파일명 : [Autopsy]시나리오2.zip (나보석의usb.E01 / 나보석의usb.001 / [Autopsy]시나리오2_시나리오및문제.pdf / [Autopsy]귀금속절도사건_보고서.pdf

- 다운로드 [섹션12. 실습 시나리오2] - [[Autopsy]실습 시나리오 풀이 2-1]

8) 실습 시나리오 3(이미지 파일 및 문제, 보고서)

① EnCase 사용시

- 파일명 : [EnCase]시나리오3.zip (박성민의usb.E011 / 박성민의usb.001 / [EnCase]시나리오3_시나리오및문제.pdf / [EnCase]시나리오3_보고서.pdf

- 다운로드 [섹션13. 실습 시나리오3] - [[EnCase]실습 시나리오 풀이 3-1]

② Autopsy 사용시

- 파일명 : [Autopsy]시나리오3.zip (박성민의usb.E01 / 박성민의usb.001 / [Autopsy]시나리오3_시나리오및문제.pdf / [Autopsy]시나리오3_보고서.pdf

- 다운로드 [섹션13. 실습 시나리오3] - [[Autopsy]실습 시나리오 풀이 3-1]

5. 강의에서 사용하는 분석툴등의 프로그램 다운로드 

강의에 사용하는 프로그램의 다운로드 링크 안내해드립니다

1) Encase

Encase는 상용프로그램으로 별도의 라이선스를 보유하신 경우에만 사용이 가능하며 직접적인 설치파일을 제공하지 않는 것으로 보이며, 설치파일의 배포가 가능한지 확인이 어려운 관계로 설치 프로그램의 제공이 어렵습니다.

2) FTK Imager

exterro 웹사이트에서 다운로드 가능합니다

https://www.exterro.com/ftk-imager

위 링크에 들어가신 후 'Download FTK Imager' 버튼을 클릭하시면

다운로드 페이지로 연결되며, 다운로드 페이지 우측의 정보(Fill out the form to download~)의 내용을 임의로 작성하시고 제출하시면 다운로드가 가능합니다.

현재 기준 4.7 버전을 다운로드 가능하며, 강의에 사용한 4.5.0.3과 큰 차이가 없기때문에 4.7 버전을 사용하셔도 무방합니다.

3) HxD

mh-nexus 웹사이트에서 다운로드 가능합니다

https://mh-nexus.de/en/downloads.php?product=HxD20

위 링크에 들어가신 후 중간정도에 한국어 버전인 korean 버전을 다운로드하시면 됩니다

강의에 사용한 2.5.0.0 버전과 동일한 버전입니다.

4) REGA / LNK Parser

고려대학교 디지털 포렌식 리서치 센터 Tool 페이지에서 다운로드 가능합니다.

http://forensic.korea.ac.kr/tools.html

위 링크에 들어가시면 다운로드 페이지로 연결되며,

여러 툴 중 위에서 두번째 REGA / 위에서 5번째 LNK Parser 다운로드해시면 됩니다

안녕하세요!

Autopsy를 이용한 강의가 일부 업로드 되었습니다.

현재까지 추가된 강의는 아래와 같습니다.

1) [섹션7 디지털 포렌식툴 사용법] Autopsy 툴 사용법 1~2

2)[섹션8 파티션 복구] Autopsy를 이용한 파티션 복구

3)[섹션10 정보확인방법] Autopsy 정보확인법 1~6

실습 시나리오를 제외한 AUtopsy강의 업로드가 완료가 된 상태이며,

실습시나리오 풀이 영상은 준비 되는대로 순차적으로 업로드 예정으로, 약간의 시간이 더 필요할것으로 보입니다만 최대한 빨리 업로드 하도록 하겠습니다 ㅜ_ㅜ

빠르게 업로드를 하려다보니 영상의 편집이나 기타 실수가 있을수도 있을것 같다는 생각이 드는데,

autopsy관련 강의를 보시다가 혹시라도 영상편집등의 문제가 있다면 죄송한다는 말씀을 먼저 드리며,

저에게 알려주시면 수정하도록 하겠습니다.

참고로 autopsy강의 내용으로 분류를 해서 별도로 등록을 했지만 영상 내부에 encase/autopsy 공통적인 내용들은(주로 이론설명부분) 기존의 영상을 사용하여 편집하였으며, 이로 인해 음성에 약간의 이질감이 있을수도 있습니다.(촬영을 한 장소가 다르다보니 소리역시 약간 차이가 생기네요 ;)

또한 기존 영상을 가져와서 편집을 하다보니 언급되는 내용중에 'Encase에서 확인해보면~' 등의 Encase라는 말이 언급되는 부분과 영상의 PT부분의 'Encase'라 되어있는 부분은 포렌식 분석 프로그램을 의미하므로 autopsy로 이해해주시면 감사하겠습니다.

아무리 부가적으로 올려드리는 강의라곤 하지만, 그래도 너무 부실하진 않을까 걱정이 앞서네요. 미리 죄송합니다 ;;

실습 시나리오 강의는 업로드 될때 다시 한번 안내 드리겠습니다. 감사합니다 !

• 강의 보시는 순서

  • 모든 강의는 커리큘럼 순서대로 시청해주세요

  • 강의 제목에 [공통]이라고 되어있는 강의는 필수강의이며

    그외에 강의제목에 [EnCase] 또는 [Autopsy]라고 되어있는 강의는

    사용하고자 하시는 디지털포렌식 분석프로그램에 맞춰서 한가지만 선택하셔서 순서대로 시청해주세요.

수강생여러분들. 안녕하세요 ~ :)

제가 이 강의를 처음 오픈할때 약속드리기도 했고, 또 많은분들의 요청이 있어서 기존 encase를 이용한 분석 강의에, 추가로 autopsy를 이용한 분석 강의를 업로드할 예정입니다.

추가될 autopsy강의는 기존 강의와 다른 새로운 강의는 아니며, encase 강의에서 다뤘던 내용들을 autopsy 사용에 맞게 일부 수정해서 제작을 했기때문에 실습용 파일이나 시나리오는 동일합니다. 공통부분은 기존 강의를 그대로 이용할 예정이고요.

다만 강의영상의 수가 많아지는만큼 혼란을 줄이기 위해서 강의영상 제목에 [공통],[Encase],[Autopsy]로 구분하여 올릴 예정이니 수강생 여러분이 준비하시는 분석툴에 맞춰서 [공통] 및 [Encase 또는 Autopsy] 만 공부하시면 됩니다! (모든 영상을 다 보실 필요가 없습니다 !)

예) Autopsy로 준비하시는 분은 [공통] 및[Autopsy] 영상만 보세요~

현재 autopsy용 교재 및 기본적인 내용들은 어느정도 촬영을 완료했습니다.

실습시나리오 3개에대한 촬영이 남아있는데 이부분이 양이 많다보니 약간 시간이 걸릴것으로 생각되기도하고, 시험이 한달여 남은 점을 감안해서 우선 실습시나리오 풀이 영상은 준비되는대로 업로드하기로하고, 이미 촬영이 완료된 부분만 커리큘럼 순서에 맞게 영상편집후 업로드하려고 합니다.

우선적으로 업로드되는 강의는 빠르면 다음주 중후반정도로(23.6.2 전후) 예상됩니다.

최대한 빠르게 업로드해서 이번 20회 시험을 준비하시는분들께 도움이 되실수 있도록 노력하겠습니다.

감사합니다~ :)