월 17,600원
5개월 할부 시다른 수강생들이 자주 물어보는 질문이 궁금하신가요?
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
실기시험 Tool 사용 질문
안녕하세요~ 실기 툴 관련 질문드립니다. 1)실기 시험 분석 중에 Encase, autopsy를 동시에 사용해야 할 경우가 있을까요?2)Encase로 쓰기방지 설정을 하고, 중간에 Encase를 종료하면 쓰기방지 설정 해제가 되는건가요? 2-1)쓰지방지 설정은 증거USB에서 사본을 생성할때만 유지가 되면 되는건가요?
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
이미징 사본 생성할때 문의드립니다.
안녕하세요. 이미징 사본 생성할 때 문의드립니다.쓰지방지 작업을 하고 증거 USB에 대한 이미징 사본을 생성 작업을 할 때 증거USB에 있는 파일을 노트북에 별도로 복사한 다음에 이미징 사본을 생성하나요? 아니면 증거USB 내에 있는 파일 자체를 이용해서 이미징 사본을 생성하나요?
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
HxD로 분석한 것과 FTK-imager에서 보여주는 총 섹터 수가 서로 다를 수 있나요?
안녕하세요 이번에 파티션의 BR 분석을 복습할 겸 연습 삼아 dreamhack.io 라는 워 게임 사이트에서 받은 dd파일을 복구하고 BR 분석을 통해서 총 파티션 수, 섹터 당 바이트 수, 클러스터 당 섹터 수 등을 찾아봤는데 다른 것들은 다 맞는데 총 파티션 수만 약간의 차이를 보여서 혹시 제가 잘못 계산을 한건지 아니면 프로그램 상의 계산에서 약간의 차이가 생겨서 그런 것인지 잘 모르겠습니다.일단 총 파티션의 수는 E0 FF 1D 00인데 이를 빅 엔디안으로 변형하면 00 1D FF E0이 됩니다.이를 계산기로 10진수로 변형하면 1,966,048이 나오는 것을 볼 수 있습니다.근데 FTK-imager에서는 1,966,080으로 약간의 미세한 차이가 발생하는데 혹시 이러한 현상이 일어나는 이유가 무엇인지 궁금합니다.https://dreamhack.io/wargame/challenges/303dd파일은 위 링크에서 받았습니다 수업 이외의 자료를 가지고 질문을 드려 죄송합니다
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
Ence 프로그램 관련
안녕하세요.</>드디어 11강을 시작하게되어 Ence 프로그램을 접하게 되었는데요. 아래와같은 질문이 있습니다.[1]Ence는 동글이 없으면 작동이 안되나요?[2]시험장에도 동글을 지참해서 가야하나요? 위의 두가지 질문을 드립니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
NTFS 백업본과 관련하여 질문이 있습니다.
안녕하세요 선생님 이번 강의를 들으면서 NTFS의 BR의 백업본과 관련하여 질문이 있습니다.아래 상황은 먼저 NTFS 파일 시스템을 사용하는 단일 파티션이라는 가정을 하고 말씀 드리겠습니다.강의 [Autopsy]Autopsy를 이용한 파티션 복구에서 NTFS의 BR의 백업본이 HxD로 봤을 때 맨 마지막 섹터에 아마 없을 것이고 중간에 끝났을 것이라고 하신 이유가 혹시 앞에서 혹은 뒤에서 저장될 수 있는 MFT 때문에 그런건가요?(만약 위 사실이 맞다면 MFT가 BR 다음 부터 저장이 된다면 HxD로 맨 마지막 섹터를 보면 BR의 백업본이 존재하는 것인지도 궁금합니다.)
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
교수님 문의드립니다
포렌식 강의를 학습중에 있는데요! 너무나 친절하게 잘 알려주셔서 귀에 쏙쏙 들어옵니다. (아직 강의를 다 듣지는 않았습니다.) 다만, 아래와 같이 몇가지 해소되지 않은 걱정이 있어 이렇게 문의 드립니다.1. 기출문제→연도별 기출문제가 있다면 정말 도움이 될 수 있을것 같습니다.2. 보고서 작성 방법→ [문제1] / [문제2] / [문제3]과 같이 별도의 폴더를 만들어서 답변을 하라고 해주셨는데, (기존 자격자 취득자 중)일부에서는 문제 구분없이 전체적으로 보고서를 작성해야한다는 의견을 들어서요. 어떤것이 맞는지 혼란스럽습니다ㅠㅠ
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
복사와 복제에 대해서 질문이 있습니다.
안녕하세요 강의를 들으면서 복사와 복제에 대해 이런 차이로 생각해도 되는지 여쭤보고 싶어서 질문을 드립니다.만약 .DLL파일들을 가지고 있는 프로그램이 있다고 한다면 복사 : 프로그램 파일 자체만 다른 하드 디스크의 아무 위치에 저장이 된다.복제 : 프로그램 파일 뿐만 아니라 이와 연결되어 있는 .DLL파일도 함께 이전에 저장되어 있었던 위치 그대로 다른 하드 디스크에 저장이 된다. 복사는 위치와 크기가 상관 없다는 말씀에 대해 위치는 이해가 가지만 크기가 상관 없다는 것이 위와 같은 의미인 것인지 궁금하여 질문 드립니다. 감사합니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
안녕하세요 공부내용을 블로그에 정리하는 것과 관련하여 질문이 있습니다.
안녕하세요 이번에 디지털포렌식전문가 2급 실기 공부를 위해 강의를 듣게 된 대학생입니다.다름이 아니라 해당 강의를 들으면서 자격증 공부를 하면서 동시에 블로그에 공부한 내용을 정리하고자 합니다.이게 유료이기도 해서 혹시 블로그에 정리하는 것이 안되는지 여쭤보고자 미리 질문을 드립니다.감사합니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
리틀엔디안 빅엔디안 변환 관련
강사님 추가로 리틀엔디안 > 빅엔디안 변환 과정에서 궁금한 점이 있습니다!오톱시교재 기준 예시로 99페이지를 보면, '섹터당 용량'의 리틀엔디안 00 02는 빅엔디안 200(십진수 512)으로 변환하셨고,'총 섹터수'의 리틀엔디안 00 20 02 00은 빅엔디안 03 20 00(십진수 204,800개)로 변환하신 부분을 확인하였습니다.차이점으로 빅엔디안 기준, 마지막 값이 00이냐 0이냐 차이인데, 이에따라 값도 달라지는 것으로 알고 있습니다.어느 상황에서 00, 0 구분하여 사용하는지가 궁금합니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
DD파일 생성 문의
안녕하세요 강사님먼저 유익하고 친절한 강의 감사드립니다.다름이 아니고 오톱시교재 180페이지를 보면, 파일시스템 복구를 위한 DD파일 생성 간, 증거USB를 다시 불러와 생성해야된다고 나와있는데,혼자 진행하기로는 기생성된 E0파일로도 DD파일을 생성하는 걸로 확인, 인지하였습니다.따라서, E0파일에서 DD파일을 생성해도 무관한지 문의드립니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
질문입니다.
파티션 복구 시 mbr 없이 br만 나오는 경우, 0번 섹터가 훼손되어 백업본을 찾기 위해 ntfs로 검색 시 수천개의 ntfs라는 키워드 검색 결과가 나오면, 강의에서 말씀하신 것 처럼 er ntfs가 decoded text 맨앞에 나오는 것을 찾아야하는지 그리고 만일 이러한 er ntfs가 decoded text 맨앞에 나오는 것이 여러개 존재 (ntfs의 다중 파티션이라고 가정하면 )하는 경우 어떻게 복구해야할까요 전 시험에서 비트라커를 몰라서 문제를 해결하지 못하였는데 그때 보았던 이미지 파일의 hex 값이 위 와 같은 유사한 상황이었던것으로 기억나서 질문드립니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
Bitlocker 강의자료 관련 질문
안녕하세요 선생님. 항상 강의 재밌게 듣고 있습니다 ^^Bitlocker 강의와 관련, 강의자료를 올려주셨는데 이와 관련하여 질문 드립니다.강의자료 중 bitlocker.e01를 FTK Imager를 통해 이미지 마운트를 하여 볼륨 복호화 실습을 진행하고 있는데요, FTK Imager를 통한 이미지 마운트가 되질 않습니다(정확히는 마운트는 된 것 같으나, 정상적인 형태의 암호화된 볼륨형태로 보이지 않습니다. 아래 이미지의 E 드라이브 참조) 제 실습환경이 윈도우11 기본적으로 Bitlocker가 활성화된 PC인데, 이게 영향이 미쳤을까요? 해결방법을 아시면 답변을 부탁드립니다. 감사합니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
시험장 캡쳐 및 보고서 첨부방법
좋은 수업 감사합니다.세 가지 여쭤보고 싶습니다.실기 시험을 앞두고 있는데 보고서 작성시제가 확인한 프로그램 화면들을 캡쳐해서 넣고 싶을 때화면 우측 하단의 시간 날짜까지 나와야 하는지,아니면 캡쳐 중 일부만 잘라서 붙여도 되는지요?캡쳐는 일반적인 그림판 이용 외에 다른 방법이 있는지요?어떤 문제에서 캡쳐를 해줘야 하고, 어떤 문제애서 해주지 않아도 되는지 여쭤보고 싶습니다.좋은 수업에 다시 한번 감사드립니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
질문입니다.
시험장 제공 증거 usb에 이미지 파일이 있는 경우, 별도의 이미지 생성과정 없이 쓰기방지 설정하지 않고 해당 이미지 파일을 이용 autopsy나 ftk 이미저로 바로 분석을 하면되는 것인가요?
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
강의내용데로 진행이 안되요
encase v23.2 사용하고있습니다. 강의내용에 따라 진행하는데 process 클릭시 에러가 나오면서 진행이 안됩니다..ㅡㅜ 이유가 멀까요
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
강의한 PPT 파일 어디서 다운로드 받아볼 수 있나요?
강의한 PPT 파일 어디서 다운로드 받아볼 수 있나요?
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
질문입니다!
안녕하세요! 질문이 있습니다!(우선 1~3번 질문의 경우 너무 기초적인 질문이라 죄송하다는 말씀드리며 시작합니다) 순서관련증거물이 담긴 USB를 연결하기 전 무결성 유지를 위해 '쓰기방지', '자동실행 OFF' 등을 먼저한 후증거물 USB를 연결하고 이미징 작업 진행, 이미징 작업 완료 후 증거물 USB 제거 및 쓰기방지 해제.이 순서가 맞나요? 이미징 할때 처음에는 E01 형식으로 이미징 하고 파티션 등 복구가 필요할 경우 다시 raw(dd) 형식으로 이미징하자고 하셨던 것 같은데시간관계상 처음부터 E01 형식이 아닌 raw(dd) 형식으로 이미징하고 진행해도 크게 상관 없을까요? 분석도구로(AUTOPSY) 분석할때는 어떤 형식의 이미징파일로 진행하는게 맞을까요?(강의에서 봤던것 같은데 기억이..죄송합니다) 4. 시험현장에서 Registry Viewer 혹은 레가를 이용하여 레지스트리를 수집하고자 할때 어떻게? 어떤 파일?을 오픈해야하나요?(질문이 광범위해서 죄송합니다)5. BCWIPE를 이용하여 삭제한 경우 "BCWipe는 어떠한 데이터가 저장되었는지 알 수 없도록 하기 위해 MFT 영역의 Flag 및 Name을 변형하였다. NTFS 파일시스템에서 삭제된 파일의 Flag 값은 ‘0x0000’인데, BCWipe는 Flag 값을 ‘0x0200’(디렉터리 파일)으로 변경하였다. 삭제된 파일 Name의 경우 파일 Name 값에 ‘~BCWipe.tmp’값을 기록하였다. 때문에 Name 값 분석을 통해 BCWipe의 사용 여부를 알 수 있다."위 문장과 관련하여 혼자 연습해보는데 플레그 값의 위치는 어디인지.. Name 값은 어디있는지 찾을 수가 없더라구요.. 알려주실 수 있을까요?
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
시나리오 3 관련 USB의 모델명 관련 질문입니다.
AUTOPSY 최신 버전(4.21.0)의 문제인지, 제 PC 설정의 문제인지 몰라서 추가 질문 드립니다. 시나리오3-문제10- 증거 USB 모델명 관련 해서 Device Model이 강사님 답처럼 Ultra Flair가 아닌 Product Number로 조회가 되는데, 혹시 따로 추가적인 설정이 필요할까요?
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
질문있습니다!
안녕하세요! AUTOPSY로 학습간 질문이 있어서 문의드립니다.1. Run Ingest Module - Extension mismatch Detect에서Skip files without extensions + Skip known files이 결과값에 미치는 영향과 체크를 해제할 필요는 없을까요?Skip files without extensions은 직관적으로 이해가 되는데 Skip knoww files의 의미를 잘 모르겠습니다.2. Run Ingest Module - Keyword Search 에서 현재 최신 버전(4.21.0)에는 Add text to Solr Index 라는 체크하는 곳이 생겼습니다.이거를 체크해야 키워드 서칭이 되는 것 같은데, 강의에는 없는 내용이다 보니 질문드립니다.3. ftk imager에서 Recovered라고 뜨는 파티션의 경우 Encase에서는 프로그램 내부에서 별도의 작업을, Autopsy에서는 추가적인 작업은 필요없다고 하셨지만, 실제 hxd로 복구해보려면 어떻게 해야할까요?시나리오2 기준으로 3번 파티션의 스타팅 섹터와 섹터수를 16진수 값으로 변경해서 넣어보고 encase에서 열어봣는데 그것만으로는 되는 것 같지 않아서 문의드립니다.
- 해결됨디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)
또 질문드립니다!
안녕하세요!또 질문드리네요 ㅎㅎ 항상 친절하고 자세하게 답변해주셔서 너무 감사합니다!1. 비트락커 설치 및 제공이 안되는 윈도우버전밖에 없을경우 연습해볼 수 있는 방법(개인 컴퓨터가 윈도우11Home버전이라.. 연습해볼 방법이없어 답답하여 질문드립니다)2.스태가노그래피 관련 파일 하나하나 분석하는 방법 이외에 빠르게 찾을 수 있는 방법(예를 들어 특정파일의 크기가 다른 파일에 비해 비정상적으로 크다던가..특징..?)3. 특정 경로에 있어야할 폴더 및 그 폴더 안의 데이터들이 없을 경우 찾는 법..?(예를 들어 user/appdata/roaming/‘찾고자하는 폴더’ 인데 폴더가 없고 옵토시 삭제파일에서도 찾을 수 없는경우..)4.sha1 해쉬값을 오톱시에서 검색하는 법?(오톱시에서는 md5, sha256 밖에 검색이 안되는 것 같은데 해결책이 있을까요?)5.특정 hex값을(시그니처 훼손 등)오톱시에서 따로 검색하는 법이 있나요?질문이 많아서 죄송합니다!