22회 실기 관련 문의

Question

안녕하세요 강사님. 이번 22회 실기 관련해서 문의드리고자 합니다. 처음 나눠준 usb를 복구하면 내부에 E01 이미지 파일이 있는데 그것을 추출해서 FTK imager와 Autopsy로 열고자 하였는데 열리지 않아 HxD로 확인해 보니 해더 부분은 E01파일 이 맞는 것을 확인했습니다.. 혹시 다른 어떤 조치를 취하고 열었어야 했는지 여쭙고자 합니다. 아직 공부 기간이 길지 않아 이 부분조차 해결하지 못하고 돌아왔네요

maposkal9421 · Answer

글 작성해주신 분하고 저도 동일한 현상이었는데 처음 나눠준 usb를 복구해서 열어보니 파일명.E01 파일명.E02 파일명.E03 파일명.E04 파일명.txt (FTK 이미징 후 산출된 로그파일) 이렇게 파일이 있었고 해당 파일을 encase, FTK, Autopsy에서 열어보려고 했으나 열리지 않아서 그냥 나왔습니다. 왜 그랬을지 고민해 봐도 잘 모르겠네요

0xDEADBEEF · Answer

다음에 또 이런 일이 발생하면, 헥스 에디터로 파일을 열어서 시험용 USB가 잘못 만들어진 것은 아닌지 확인해보고, 다른 USB로 바꿔달라고 요청하는 것도 방법일 것 같습니다.

수석반장 · Answer

다른 질문 인지 모르겠으나, 저같은 경우 처음 usb 복구 시, logical drive 선택하고 진행했었는데, 열리지 않아서 physical drive로 복구해서 진행했더니 내부 파일이 정상적으로 확인 되었었습니다.

0xDEADBEEF · Answer

제 경우는 아래와 같은 절차로 이상없이 E01 파일을 열 수 있었습니다. RAW(dd) 형식으로 USB 이미지 획득 E01 파일이 저장된 폴더의 모든 파일 추출(*.E01.Slack 또는 이와 유사한 파일도 있었습니다.) EnCase로 E01 파일 불러오기 성공

nstyxn · Answer

안녕하세요 rang님! 말씀하신 부분은 정확하진 않지만 원인을 알 수 없는 에러로 추정이 됩니다. 이번시험에 그와 관련되어 문제가 있었다는 말씀을 해주신분이 또 계신데, 이게 정확히 어떤 상황일때 나오는 문제인지 조차 명확하지 않아서 조금은 테스트를 해보고 말씀을 드려야할것 같습니다.(물론 말씀하신 경우가 제가 생각하는 것과 전혀 다른 문제일 가능성도 있습니다) 관련된 내용은 시험 리뷰에서 종합적으로 말씀드리도록 하겠습니다!