IP에 대해서 궁금한 점이 있습니다.

안녕하세요 now-06님!결론부터 말씀드리면, 1) 레지스트리 및 ipconfig등으로 확인한 IP주소 : 사설IP로 내부적으로만 사용되는 IP 주소2) 네이버의 '내 ip찾기', 토렌트 프로그램에서 확인한 IP : 공인IP로 외부에서 접속가능한 공식적인 IP주소입니다.네이버등에서 확인한 ip가 실제적으로 외부에서 나에게 접속가능한 실제 IP라고 생각하시면 되며,사설ip는 내부적으로만 사용가능한 ip라고 생각해주세요. 예를 들어서 인터넷을 이용하기 위해서는 인터넷 서비스 제공업체(SKB,KT,LGU+등)에 가입을 해야하죠? 일반적인 가정집의 경우 1회선을 제공을 받습니다.(물론 필요에 따라서 회선을 추가할수는 있겠죠)1회선이라는 말은 사실상 ip 1개를 부여받는다고 생각하면 되는데, 단순히 생각하면 ip가 1개이니 이용할수 있는 기기도 1개여야 맞겠죠?그런데 PC, TV, 기타 무선기기들까지 동시에 접속되어 사용하는 기기들이 많다보니 1개의 회선을 나눠서 동시에 사용하기 위해서 인터넷서비스 업체에서 제공한 1개의 회선을내부적으로 나눠서 사용을 합니다. 가장 흔한 예가 공유기이죠.(물론 공유기를 사용하지 않아도 OS에서 내부적으로 사설ip가 부여되기는 합니다)공유기 등을 이용해서 접속하는 기기마다 내부적으로만 사용하는 IP를 부여해서 사용하게 하는데이게 사설 IP입니다. 일반적으로 192.168.***.*** 형태로 볼 수 있는 ip입니다.이 IP는 내부적으로만 사용가능한 가상의 ip라 생각해주세요. 반면에 네이버등의 포털에서 내ip주소 찾기 등을 이용해서 확인가능한 ip는 공인IP입니다.사설ip와 달리 가상이 아닌 실체가 있는 ip라 생각하시면 되며, 이런 공인 IP는 일반적으로 인터넷 서비스업체(SKB,KT,LGu+등)에 가입하게 되면 부여가 됩니다.다만 일반적인 가정에서 부여받는 IP는 IP주소가 고정이 되어있지않고 접속할때마다 변동이 될 수 있는데, 이와 반대로 언제 접속해도 동일한 IP가 고정IP로, 일반가정에서는 잘 사용하지 않고 인터넷 서비스 업체에 요청해서(비용이 더 비싸죠) 회사나 기관 등에서 사용하는 편입니다.이런 고정 IP를 사용하는 이유는 여러가지인데,외부에서 내 네트워크로 접속을 하게끔 만드는 경우(접속할때마다 ip가 달라진다면 그때마다 알려야하니까),특정 웹사이트나 기타 온라인 서비스에 접속을할때 기존에 승인된 IP만 접속이 가능한 경우 등을위해서 사용합니다. 질문주셨던 내용중 ip할당은 누가하는지에 대한 답변을 드리면,가입한 통신사에서 할당을 합니다.네이버의 내 ip주소 찾기에서 확인한 ip는 통신사에서 할당한 ip로이 주소를 복사해서 whois 검색(https://whois.nic.or.kr)을 통해 조회해보시면가입하신 통신사의 정보를 확인하실수 있습니다. 또한 토렌트처럼 외부에 접속하는 경우에는 공인IP로 접속을 하게 됩니다.(192.168.*.* 처럼 사설ip는 내부에서만 사용합니다 !) 그리고 질문주실때 죄송하실 필요 전혀 없습니다!입문자를 위한 강의인만큼 아주 기초적인 질문이라도 걱정마시고 질문주세요~그러시려고 비싼 수강료 내고 강의를 들으시는거니까요!오히려 딥한 질문 주시면 제가 답변을 드리지 못할수도 있습니다 :)

Encase 만 사용해서 실기시험 볼 수 있을까요 ?

안녕하세요 홍은표님!기본적으로 Encase만으로도 시험준비가 가능하긴 합니다.굳이 나눠서 보자면,시험시 사용하는 툴에는 메인 분석프로그램과 보조 분석프로그램이 있습니다.메인 분석프로그램은 Encase / Autopsy 정도이며기본적으로 이미징 파일을 Encase or autopsy에 올려서 분석을 진행하고Encase나 autopsy에서 분석이 안되거나 분석이 되더라도 분석결과를 확인하기 불편하거나 하는 경우보조 분석프로그램을 사용하기도 합니다.이러한 보조 분석프로그램은 아티팩트에 따라서 세분화 되어있고 그 종류가 매우 많기때문에시험본부에서 제공하는 보조 분석프로그램 중에 선택해서 사용이 가능한데요,우선 Encase의 경우 autopsy에 비해서 상대적으로 분석이 되는 아티팩트가 조금 더 많은 편이긴합니다다만 Encase의 특성상 UI등이 상대적으로 직관적이지 못하고 복잡한 면이 없지 않기때문에Encase에 대해서 어느정도는 많이 알고 익숙하다면 큰 문제 없겠지만그렇게 않다면 보조프로그램 사용이 필요할 수 있습니다.개인의 Encase의 사용수준에 따라 차이가 많이 나기때문에 Encase만을 이용해서 시험을 볼 수 있다 없다라고 단답형으로 답변을 드리기에는 조금 어려울것 같습니다만,기본적으로 다른프로그램을 사용하지 않고 Encase만을 이용해서 시험을 볼수 있냐는 질문에는가능은 하다라고 말씀드릴수 있을것 같습니다.다만 출제되는 아티팩트가 시험마다 다르고, 해당 아티팩트를 분석해줄 보조프로그램의 사용법들이어렵지 않다보니 되도록 함께 준비하시는것을 추천드립니다.

향로 챌린지 참여 특별미션으로 질문 남기게 됐습니다.

네 궁금하신점이 있으시면 언제든 질문주세요~:)

enase recovery 복구후 이미지 생성

박총괄이 보낸 메일 발신일자 관련해서

안녕하세요 jm99142님!실습문제 4번의 이메일 발신일시에 대해서 궁금하신거죠 ?말씀하신 부분의 영상을 저도 다시 한번 확인해봤는데, 아마 기준시간대가 달라지면서 다르게 나오는 시간때문에 헷갈리신것 같아요~ 우선 확인하셨던 내용을 추측해보면,1) mailview 에서 보신 아래의 타임스탬프 : 2024-10-31 오후 3:50:44(사진) 메일헤더에서 확인하신 타임스탬프 : Thu, 31 Oct 2024 06:50:44 -0000 (사진) 두 시간을 비교해보면 동일한 10월 31일이고, 시간만 오후 3시 50분 44초 vs 오전 6시 50분 44초로 [시]만 차이가 있습니다.비교해보면 정확히 9시간 차이가 난다는 걸 눈치채셨을거예요.정리하면 Mailview 프로그램의 타임스탬프에서 확인한 오후 3시(15시)는 한국표준시각(UTC+9)이고메일헤더에서 확인한 오전 6시는 UTC+0의 시간입니다.메일헤더의 [Thu, 31 Oct 2024 06:50:44 -0000] 에서 '-0000'이 UTC+0 임을 표현해주고 있습니다.사실상 같은 시간이며, 시간대 차이에 따른 표기의 차이임을 알수가 있습니다.이렇게 동일 프로그램이어도 표현할때 다르게 표현될 수 있음을 항상 생각하시고,현재 확인한 시간의 시간대가 어떻게되는지 반드시 체크를 해주셔야 정확한 시간을 알 수가 있습니다 !

쓰기방지실습

안녕하세요 midnight_sun님!올려주신 스샷을 봤을때는 설정은 제대로 하신것 같은데, 저렇게 했음에도 불구하고 쓰기방지 적용이 안되어서 계속 쓰기가 가능한 상태라는 말씀이신거죠 ?구글링등 여러 방법으로 찾아보신것 같아서, 제가 말씀드릴 내용들도 다 시도를 해보셨을것 같긴합니다만... 저도 이런 경우는 처음보다보니, 우선 하나씩 해보면서 문제점을 찾아봐야할것 같습니다.1) 위 스샷에 보면 writeprotect가 우선 1로 잡혀있긴한데, 저기 값을 1로 바꾼 후 바로 캡처를 하신걸까요? 저렇게 변경하신다음에, 재부팅을 한 후 여전히 값이 1로 유지가 되는지 확인한번 부탁드립니다 2) 다른 USB로 시도 찾아보니 아주 일부 usb에서 이렇게 writeprotect 를 변경해도 적용이 안되는경우가 있다고 하는데 다른 usb로도 동일하게 문제가 발생할까요? 3) 문제가 됐던 USB를 다른 컴퓨터에서도 동일한 방법으로 레지스트리로 쓰기방지후에 연결해서 똑같이 쓰기방지가 안되는지 확인 부탁드립니다 4) 레지스트리 편집기 실행시에 '관리자 권한으로 실행'하여 수정을 해보세요5) 백신이 간섭하는 경우도 있다고 하니 백신이 실행중이라면 잠시 끄고 해보세요.6) 혹시 현재 윈도우즈에 설치된 프로그램 중 쓰기방지에 영향을 줄만한 프로그램이 있는지 확인해보세요7) 정말 혹시나해서 여쭤보는 부분인데, Encase Fastbloc SE 등 쓰기방지 가 중복으로 실행되고 있는건 아닌지도 확인한번 해보세요.(fastbloc se에서 쓰기방지 해제상태로 설정이 유지중이어도 레지스트리에서 변경하면 쓰기방지가 되는게 맞긴한데... 혹시 모르니 중복 실행중이라면 하나를 확인이 꺼주시고 다시 한번 해주세요) 모두 검색하면 나오는 내용이라 다 해보시긴 했을것 같지만, 저도 궁금하네요. 각각의 경우에 결과가 어떻게 됐는지 말씀한번 부탁드리겠습니다.

24회 2급

안녕하세요 llllllllllllll 님 !먼저 도움 말씀주셔서 감사합니다! 시험을 파악하는데 아주 작은 것이라도 제겐 큰 도움이 되니 절대 그런 걱정하지마시고 부담없이 말씀해주세요 :)1) 시나리오에서는 압축에 대한 언급은 없고, 그냥 은닉에 능할것으로 추정된다는 정도의 내용이었다는 말씀이시죠? 직접적으로 압축을 언급했다면 조금 더 신경써야할텐데 그렇지 않고 '은닉'만 언급했으니 확장자변조, 파일명 변경, 스테가노그래피, 파일 저장위치 변경 등을 신경쓰라는 힌트를 준것으로 보이네요. 2) 판례는 말씀처럼 일부만 요약해서 제공을했다면, 말씀하신 것 처럼 해당 판례를 알고 있지 않는이상 제대로 답을 작성하기가 매우 어려웠을것으로 보입니다. 아직 출제되지 않은 디지털 포렌식 관련 판례를 이제는 적어도 조금이라도 공부하고 가야한다는 상황이 된것으로 보이며, 공부할 것들이 점점 많이 지는것 같습니다 ㅜ_ㅜ 3) 거래장부.zip의 시그니처는 말씀해주시는 분마다 조금씩은 다르지만 공통적인건 7* 으로 시작하는것 같은데, 우리가 알만한 7*로 시작하는 확장자는 없는 것으로 알고 있습니다. 우선 이부분은 여러가지 방법으로 확인하고 있으니 그 내용은 24회 리뷰 강의 두번째 영상에서 말씀을 드릴게요. 리뷰강의에 올라간 내용은 어디까지나 추정인 내용이 너무 많다보니 사실과 다른 내용이 있을수 있습니다. 그러니 참고만 하시고 합격여부에 대해서는 공식 발표가 있을때까지 기다려보시는게 좋을것 같아요~ !!

안녕하세요 AutoPsy 교재 p265쯤 오류가 있는거 같아 질의드립니다

안녕하세요 유창범님!확인해보니 교재 만들면서 제가 실수를 한 것 같습니다 말씀하신것처럼Windows Portable Devices 키를 확인하기 위해서 필요한 하이브 파일의 위치는 [Windows\System32\config\SOFTWARE] 가 맞습니다.교재 및 관련 영상 최대한 빠르게 수정해서 올린 후 별도 공지로 안내하도록 하겠습니다.말씀해주셔서 감사합니다 !! :)

시험중 Encase process 기능 문제

안녕하세요 Sid님!먼저, 시험 보시느라 고생많으셨습니다 !말씀하신 문제는 조심스럽긴 하지만 Encase 자체의 문제라기보다는과부하, 오류 등의 시스템과의 문제가 아니였을까 싶습니다.Encase 분석 완료후에 사용자가 별도로 특정 행동을 해야하는건 없습니다. 오히려 신경을 안쓰고 있으면 분석이 완료됐는지도 모를 정도로 별도의 완료 메시지가 팝업된다거나 특정 행동을 요구하지 않거든요.프로세스가 100%까지 진행이 되어도 바로 되는게 아니라 상황에 따라서 조금 더 시간을 요하는 경우는 있지만 오랜시간 진행이 안되거나, 중간에 save 등의 행위를 했을때 다운되버린다면(분석 진행중에 save를 하셨다는말씀이시죠? 이 부분은 과부하가 걸릴 가능성이 높아보이긴 합니다. 보통 분석 중에는 저장하기 등의 행동을 안하긴 하거든요)과부하로 인한 가능성이 매우 높아보입니다.

연락방법

안녕하세요 ljh900731님!먼저 시험 보시느라 고생하셨습니다!시험과 관련해서 궁금하신점은 이곳 질문게시판에 남겨 주셔도 되고, 개인적으로 질문주시려는경우nstyxn@gmail.com으로 메일 부탁드립니다~