MSG 형식의 이메일 파일 확인 방법

안녕하세요 당근열개님!기본적으로 .msg 파일은 Mail Viewer로 확인이 가능한 확장자입니다.다만 확인이 안된다는 그 상황이 정확히 어떤 상황인지 확인이 조금 필요할것 같아서 질문드리면,.msg 파일이 어떻게 열리지 않는지 설명 해주실수 있으실까요 ? 메일뷰어의 어떤 화면에서 어디 선택을 하셨는지 등에 대한 과정(사진)

디지털 증거 분석 보고서 작성

안녕하세요 당근열개님! 결론부터 말씀드리면 보고서는 작성을 하셔야합니다!단, '보고서'라는 말의 의미가 조금 애매해서 확실히 정리해서 말씀을 드려야할것 같아요.우선 실무에서 '디지털 증거 분석 보고서'라는 이름으로 보고서를 많이 쓰는데,① 어떤 사건인지에 대한 사건개요② 의뢰 분석물 정보 : 어떤 증거에 대해서 분석 의뢰를 받았는지(예 : 현장에서 발견된 USB)③ 의뢰 내용 : 어떤 정보를 분석해주실 원하는지(예: USB에 저장된 범행계획 문서)등에 대해서 기록을하고,분석의 과정과 분석을 통해서 확인한 내용을 서술하는 형태로 진행됩니다.말그대로 전반적인 내용이 모두 포함되게 되는데,우리 시험에서 이야기하는 디지털 증거 분석 보고서는 사실상 '답안작성' 정도로 이해하시면 됩니다.시험 초창기에는 이러한 실무에서 사용하는 디지털 증거 분석보고서의 형태를 약간 따라해서 작성을 하기도 했지만, 최근에는 묻는 질문에 대한 답안만을 쓴다고 생각하면 될 것 같아요.예를 들어서 문제 1. 파티션을 복구하고 아래의 질문에 답하라1) 파티션의 파일시스템2) 총 섹터의 수 문제 2. 용의자 A의 청탁을 받고 개인정보를 유출한 B기업 C사원이 받기로 한 댓가는 무엇인가?이런식의 문제가 여러개 있는데,워드파일(한글 or ms word) 1개 혹은 각 문제별로 파일을 만들어서(예1 : 답안(통합).hwp / 예2: 답안1.hwp, 답안2.hwp)문제1.이미징을 완료한 후 FTK Imager로 이미지 파일을 확인하니 접근이 불가능한 파티션을 하여HxD로 불러와서 확인결과 첫번째 파티션인 NTFS 파일시스템의 파티션의 BR이 훼손되어백업 BR를 복사하여 덮어쓴 후 저장하여 확인하니 정상적으로 접근이 가능하였다.(시간순으로 복구과정을 설명 + 스크린샷)문제2.관련 증거파일명 : abcd.jpg관련 증거파일의 저장위치 : c:\users\계정ID\Desktop\~에서 발견한 파일이 확장자 변조가 의심되어 확인해보니 실제로는 .eml 파일이었으며, 확장자 변경후에 접근이 가능했으며, 내용을 확인한 결과 A가 C에게 보낸 메일의 사본이고 C에게 개인정보를 유출시켜주면 1억원을 지급하기로 한 내용을 확인함.+스크린샷 등이런식으로 전체적으로 해당 문제에서 요구한 답을 찾는 과정과, 관련된 파일의 기본적인 정보(파일명, 저장위치)를 담아주세요.시험에서 얘기하는 보고서는 위와 같은 형태로 작성한 '답안파일'로 생각해주시고,1) 답안 파일 1개 or 문제마다 - 이부분은 당일 현장에서 시험관련 안내에서 별도로 지시하지 않는다면 편하신대로 작성해주세요2) 각 문제에서 요구하는 내용 관련 증거파일은 수정되지 않은 원본 그대로 추출하셔서 답안(보고서)와 함께 제출해주시고, 만약 당일 안내에서 별도로 증거파일은 제출하지 말라는 언급이 있지 않는이상 기본적으로 함께 제출한다 생각해주세요~

Autopsy로 분석 돌리면 언제쯤 ingest를 중단하면 좋을까요?

안녕하세요 오재훈님!우선 몇가지 질문드리면, 1) '어떤 이미지를 돌려도 89%에서 진척사항이 없어서' 라고 해주셨는데 모든 이미지에서 동일한 증상이 나타나는 상황이신가요? 제가 올려드린 실습문제 시나리오 등의 이미지 중 하나로 예를 들어서 말씀해주실수 있으실까요?2) 89%에서 진행이 안되는걸 확인한 시점이 대략 분석시작 몇분 후 정도일까요?3) 인제스트 모듈 선택시, 혹시 키워드 서치가 선택되어있진 않나요 ? 어떤 이미지든 89%에서 더이상 진행이 안된다고 하신걸 보면, 인제스트 모듈은 동일하게 가져가신것으로 보이는데, 정확히 어떤 인제스트 모듈을 선택을 하셨는지 말씀 부탁드리겠습니다~컴퓨터 스펙만 놓고 봤을때는 제 노트북 / 제 데스크탑보다 훨씬 좋은 스펙이신데,적어도 제가 올려드린 여러 연습용 이미지 파일이 모두 동일하게 89% 정도에서 진행이 안된다는건분명 스펙문제가 아닙니다. 그리고 제가 올려드린 이미지 파일들은 아무리 길어도 1시간 이하로 끝나야 정상입니다.그럼에도 불구하고 분석이 완료되지 않는다면 인제스트 모듈 선택 상의 문제가 아닐까 싶습니다.(특히 키워드서치 선택)또한 이런 문제 발생시 어느시점에 분석 중단을 해야할지에 대한 답변은말씀드릴수가 없습니다. 이게 상황에 따라 너무 다르기때문에 적당한 시점이라는건 있을수가 없거든요.또한 그렇게 취소를 해도 어느정도 분석이 다 된것처럼 보인다고 하셨는데, 분석이 안된 부분을 모르셨을수도있고, 또 중단시점이 다른 항목은 모두 분석완료했으나, 마지막 분석항목에 대해서 진행(예: 키워드 서치)중에 중단해서 마지막 항목만 완료가 안된경우등 상황이 너무 다양합니다.우선 제가 질문드린 내용을 먼저 확인한번 부탁드리겠습니다!

제25회 실습 자료 관련

안녕하세요 hwanny님!25회시험 리뷰 실습파일 말씀하시는게 맞으시죠?영상에서 설명드린 것 처럼, 25회 시험에서 파티션 복구는 아주 기본적인 부분만 나왔기때문에 리뷰영상에서는 따로 다루지 않았고, 실습파일도 파티션 복구가 필요하지 않은 상태로 올려드렸습니다.말씀하신대로 다른 파티션이 확인이 안되고 MS reserved partition 만 보이는 상태는 조금 예외적인 상황으로 보이는게, 파티션 복구가 필요한 상황일 경우라도, 해당 파티션에 접근이 안될 뿐이지 파티션은 보이는게 정상인데 오직 MS reserved 파티션만 보인다는 말씀이시죠?혹시 보고 계신 파일이 25회 실습 파일이 맞을까요?혹시나 싶어서 업로드한 파일을 다운로드 후 압축해제해서 FTK Imager로 확인을 해봤지만 말씀하신 문제는 발견할 수가 없었습니다.말씀하신 파일을 다시 한번 확인해보시겠어요?참고로 파일의 용량은 23.4GB (25,176,215,940 바이트) 입니다~

이미징 관련 기초적인 질문입니다..

안녕하세요 박준석님!질문 주신 부분이 시험을 처음 보시는 분들에게 정말 헷갈리는 부분 중 하나입니다!말씀해주신것처럼 최근 시험에서는 시나리오상 현장에서 수사관이 증거를 이미징해서 수사관이 소유하고 있던 USB나 외장하드 등의 저장장치에 저장하는 내용으로 많이 나오고 있습니다.이런 경우 '시나리오에서 수사관이 이미징을 해서 이미지 파일로 저장을 했다고 했으니' 별도의 이미징이 필요가 없습니다. 제공받은 USB에서 이미지 파일을 분석 노트북으로 복사해서 붙여넣기 하시고 추가 이미징 작업 없이 바로 분석을 진행하시면 됩니다.(이미 수사관이 이미지을 한 시나리오이기때문에)단, 시험시 제공 받은 USB가 증거원본인지 아니면 이미 이미징한 사본 파일을 담은 단순 저장용 USB인지는 시나리오를 정확히 보시고 판단을 하셔야합니다.예를 들어서 시나리오 상 현장에서 수사관이 USB를 하나 발견했는데(수사관의USB가 아닌 현장에서 발견된), 그 안의 파일이 .e01 파일 하나가 저장되어있을 경우 파일만 보면 이미징을 이미 했구나 착각할수 있거든요. 그런데 이 경우에는 증거원본이기때문에 쓰기방지>이미징을 해주셔야합니다. 시나리오를 꼼꼼하게 확인하시고 판단을 해주세요! 정리해드리면,1.증거 원본 USB인경우 - 쓰기방지 > FTK Imager로 이미징2.사본인 경우 -쓰기방지 > 이미징 불필요!(이미 사본이기때문에) -단, 사본이어도 e01 파일이었고, 파티션 복구가 필요한 경우에는 DD파일이 필요하므로 이 e01 이미지 파일을 원본으로 잡고 DD로 이미징을 해주셔야합니다. 이 이미지 원본/사본의 구분과 그에 따른 이미징 작업 필요 여부에 대해서는 많은 분들이 처음에 어려워하시는 부분입니다. 시나리오에서 같은 말도 어떻게 하느냐에 따라서 헷갈릴수 있는 부분이다보니 한 마디로 정리가 안되는 부분이기도 하고요.무엇보다 시나리오를 꼼꼼하게 보시고 상황판단을 해주셔야합니다!관련해서 얼마전에 올려드린 유튜브 라이브 특강(섹션 20)에서 조금 더 자세히 다루고 있으니 참고 부탁드릴게요~

파일 EOI 관련 질문

안녕하세요 ys_lab님!우선 용어 정리먼저 해드릴게요.1. 헤더 시그니처와 푸터 시그니처 특정 포맷의 파일임을 나타내는 '시그니처'가 파일의 시작과 끝에 있는것으로 각각 헤더 시그니처와 푸터 시그니처로 부릅니다. 이를 다르게 부르는 표현이 아래에서 보는 SOF와 EOF, SOI와 EOI가 있는데, 헤더/푸터 시그니처가 더 포괄적인 상위 개념이고, 그 아래 하부개념으로 파일의 형태에 따라 EOF 나 EOI등으로 부릅니다.2. SOF(Start Of File =BOF)와 EOF(End Of File) 파일의 시작부분과 끝에서 볼수 있는 시그니처로 위에서 말한 헤더시그니처와 푸터 시그니처와동일한 의미입니다.일반적으로 이미지가 아닌 파일의 헤더 시그니처는 BOF(Beginning Of File)로 더 많이 부르는데이는 JPG의 구조에 SOF(Start OF Frame) 라는 구조가 있어서 혼돈을 피하기 위해서 그렇습니다.3. SOI(Start Of Image)와 EOI(End Of Image)이미지 파일에서 사용되며, JPG를 예로 들면 JPG 파일은 FF D8로 시작해서 FF D9로 끝이난다고 볼수 있죠?우선 용어 정리먼저 해드렸습니다.그렇다면 우리가 아는 이러한 헤더 / 푸터 시그니처는 파일의 시작과 끝을 알려준다고 알고 있는데,기본적으로 헤더시그니처(예: FF D8)로 시작해서, 푸터시그니처(예 : FF D9)로 파일이 끝나는게 기본이고, 그 뒤에 다른 데이터가 있다면 그 데이터는 FF D9로 끝난 JPG 파일이 아닌 다른 파일로 보는게 맞긴합니다.그런데 이러한 기본만으로는 이해가 안되는 상황들이 조금 있습니다.(이부분은 조금 더 들어가는 부분이어서 일부러 설명을 안했거든요. 더 복잡해질수가 있어서)1. Zip파일의 구조를 가진 파일들 - 예시로 들어주신 .zip 파일의 경우에는 이 EOF라는 개념이 살짝 다릅니다. (.zip 파일의 구조를 갖는 .pptx, .docx, .xlsx, .hwpx도 동일합니다) .zip 파일의 구조를 보면 파일의 마지막 끝부분에 EOCD(End Of Central Directroy)라는 블록이 존재하게 되는데, 이 곳에는 압축파일안에 들어있는(압축되어진) 파일들의 정보를 담는 공간이 있습니다.이걸 EOCD라고 부르고, 일종의 목록 같은거라 생각해주세요. 마치 MBR 파티션 테이블에서 각각의 파티션의 기본적인 정보를 16바이트에 담고 있고, 누군가 접근을 할때 해당 파티션의 정보를 보고 알려주는 역할을 하듯이 .zip 에서는 압축되어진 파일의 정보를 EOCD에 담아두고 누가 물어보면 이걸 보고 우선 확인하는 목차같은 역할을 합니다.이 EOCD는 .zip 파일의 마지막에 존재하게 되고 제가 그동안 파일의 끝이다(=푸터 시그니처=EOF)라고만 간단히 설명드린 50 4b 05 06 이, 사실은 파일의 끝이 아니라 파일의 끝에 있는 EOCD의 시작부분입니다. (사진)위 스샷이 말씀하신 25회시험 리뷰 다섯번째 영상의 해당 부분의 스샷입니다.보시면 50 4B 05 06 이후에 18바이트가 추가가 되어있죠 ?50 4b 05 06 까지 포함하면 총 22바이트인데, 이 부분이 EOCD입니다.이렇게 EOCD는 최소 22바이트 이상(시그니처(50 4b 05 06) 4바이트 + 메타데이터 18바이트)로 구성이 되는데, 위의 예시파일에서는 최소인 22바이트로 구성이 되어있는것을 알수 있습니다.그래서 정확히 얘기하자면 50 4b 05 06 의 시그니처 이후 18바이트를 모두 포함을 해야합니다. (만약 저상태에서 50 4b 05 06까지만 잘라내서 새로운 파일로 저장을 하면 에러가 나겠죠)그래서 질문주신 내용에 대한 답변을 드리면, 위 스샷에서 EOF 로 알고 있던 50 4b 05 06이후 데이터는 필요없는게 아니고 필요한 데이터이며, 마찬가지로 헤더 시그니처 역시 처음이 아니라 앞에 다른 데이터가 조금 있어도 되는 그런건 아닙니다.정확히 파일의 헤더와 푸터 시그니처로 시작되고 마무리가 되어야합니다! 2.JPG 파일의 FF D9 뒤에 데이터가 추가로 있는 경우(사진)위 스샷은 실습시나리오 5번에서 다뤘던 증거인 photo.zip 이라는 파일입니다.이 파일은 이미지 5개를 photo.zip으로 압축한뒤 jpg 파일을 추가로 은닉시킨(스테가노그래피) 파일인데, 상단의 50 4b 05 06 ~ 2D 01 00 00(총 22바이트)의 압축파일이 끝나는 EOCD를 볼수 있습니다. 정확히 그곳까지가 이 .zip 파일인데, 그 뒤에 FF D8로 시작되는 jpg의 헤더 시그니처가 보이시죠? 우리가 그동안 이해한대로라면 50 4B 05 06뒤에 바로 FF D8이 와야할것 같은데, 정확히는 EOCD 22바이트가 있고, 그게 끝나자 마자 바로 새로운 JPG가 시작하는 경우입니다.이 부분은 이제 이해가 되실거예요.그런데 저 파일에서 FF D8로 시작하는 은닉한 JPG 파일이 하나 있는데, 이 파일의 끝을 보면 또 이해가 안되는 부분이 있어요.(사진).zip 파일의 경우 EOCD가 최소 22바이트이니 이해가 되는데, JPG의 경우는 무조건 FF D8로 시작해서 FF D9로 끝나야하는데 추가로 데이터가 있으니 혼란스럽죠.위의 경우에는 FF D9로 끝나는게 맞습니다. 그런데, 뒤의 데이터 문자열을 보면 뭔가 사진의 정보처럼 보이는 느낌이 들죠? Image_UTC Data1775036378071 = 사진 촬영 시간Camera_Scene_info2 , Color Display_P3, Photo_HDR_Info 사진의 추가정보를 담은 부분으로 보이는데 이러한 부분은 원래 없어야하는 부분이 맞습니다. 이 부분은 SEF로 불리는 메타데이터인데, SEF는 Samsung Extension Format의 약자로삼성 스마트폰으로 촬영한 사진의 경우 사진 촬영시 여러 정보(심도, 듀얼 카메라 픽셀정보, 모션포토)등의 정보를 기록한 부분입니다. 갤럭시로 촬영시 모션포토라고 해서 한장의 사진이지만 gif처럼 보이는 사진모드들도 있고, 여러 모드가 있는데 그런 추가적인 정보를 담아야하는데 기존 jpg 구조상 담기가 조금 애매해서 삼성에서 추가로 붙인 내용이라 생각하시면 좋을것 같습니다.이런 추가 데이터를 붙이는 방법은 스마트폰 제조사마다 약간 차이가 있는데,삼성의 경우 기존 jpg 구조를 건드리지 않기 위해서 밖으로 빼서 저장했고,애플의 경우는 기존 jpg 구조 안에 집어넣는(FF D8 과 FF D9 안에) 형태와 별도의 포맷으로 따로 만든 경우 등 차이가 있습니다.참고로 위에서 보여드린 갤럭시로 촬영한 사진 파일에서 FF D9 이후 데이터를 삭제해도 사진 자체는 동일하게 정상적으로 보입니다. 말그대로 추가 데이터이다보니까요. 이런 부분들은 파일의 구조를 이해하는것에도 어려움을 더하겠지만, 무엇보다 스테가노그래피 분석시에 정말 어렵게 만드는 부분이긴합니다.우리가 공부하는 디포 입문 수준보다는 조금 더 깊은 부분이다보니, 오히려 혼란이 더 커질수가 있어서 설명을 안드렸고 이 부분은 지금은 그냥 보고 넘어가시는 걸 권장합니다.다만 실제 시험에서 스테가노그래피 분석을 할경우,우리가 알고 있는 헤더/푸터 시그니처만 생각해서 그 부분만을 추출해서 새로운 파일로 저장하시면 큰 문제 없이 해결이 되므로 우선은 관련 부분을 찾고, 잘라내서 새로운 파일로 만들어저장해서 확인해주시고 위의 내용은 참고로만 봐주세요~

특강 관련 문의

안녕하세요 maizard님!4.11 특강은 아무래도 유튜브 등에서 라이브로 진행되다보니 라이브 이후에는 시청이 불가능할 예정입니다.다만 모의고사가 개별적으로 진행되다보니 그에 대한 풀이 영상은 그 이후에(다음주 중 예정) [실습 시나리오5] 강의에 등록될 예정이며,궁금해 하시는 4.11 특강 라이브 영상은 그대로 녹화해서 업로드를 할지에 대해서는 조금 고민을 하고 있습니다. 개인적으로 유튜브 등의 플랫폼에서 라이브 경험이 처음이다보니 녹화를 하려해도 실수하는 부분이 발생할수도 있고, 또 유튜브의 화면을 그대로 등록하는것에 대해서 조금 고민을 해봐야해서(채팅창 대화 내용이나 기타 여러가지) 이 부분은 판단후에 결정을 해야할것 같습니다.가장 좋은 방법은 라이브에서 다뤘던 내용을 따로 촬영해서 올리는게 가장 깔끔하긴 한데, 이것도 꽤 시간과 노력이 필요한 부분이다보니 쉽게 결정하기가 어려운점 양해부탁드리겠습니다 ㅜ_ㅜ감사합니다~

59강 실습 파일 문의

안녕하세요 인프롱님!해당 영상의 첨부파일을 다운로드 받아서 확인해봤는데 정상적으로 열리는 점을 확인했습니다(사진) 이렇게 나와야 정상인데, 파일을 hxd로 열었을때 이와 동일하게 나오시는지 궁금합니다. 그리고 만약 위의 스샷과 동일하게 열린다면, 검색시에 어떤 순서로 검색을 하셨는지 말씀해주실수 있을까요?그 말씀을 들어야 제가 도움을 드릴수 있을것 같습니다~답변 부탁드릴게요~

현장 강의나 스터디 운영 요청드립니다.

안녕하세요 윤호진님!말씀에서 고민의 깊이가 느껴지는 글을 써주신것 같아요.결론부터 말씀을 드리면, 정말 죄송하게도 현재 오프라인 강의나 스터디그룹 운영에 대한 계획은 없습니다.이게 여러가지로 어려움이 있는데,강의 영상이나 공지등을 통해서 몇번 언급한적이 있지만, 현재 제가 하는 일은 디지털 포렌식과는 전혀 관련이 없는 일을 하고 있다보니 시간을 내기가 어려운 면이 제일 크기도 하고디지털 포렌식 시험 준비라는게 오프라인 강의 한 두번으로 해결될수 있는 성격도 아니기도 하고 그렇게 진행을 한다고 하더라도 정말 겉햝기 식으로 밖에 될수가 없다보니 그 오프라인 강의에 참석하기 위해서 시간을 들여 참석해주신 분들에게도 큰 도움이 되지 않을거라는 생각때문입니다.또한 그렇게 어렵게 참석해주신 분들에게 그에 걸맞게 값어치 있는 시간이 되실수 있도록 준비를 해야할텐데 그런 준비시간을 내기에는 저로서도 어려움이 있거든요 ㅜ_ㅜ(그리고 제가 오프라인 강의를 할 정도의 실력이 안되는게 가장 큰 이유일겁니다 ㅎㅎ)스터디 그룹도 비슷한 이유로 제가 주관해서 진행하기에는 어려움이 있는게 사실입니다. 말씀의 의도는 이해되고 또 많이 공감이 되지만, 개인적으로 어려움이 너무 많기에 원하시는 답을 드리지 못해서 죄송하다는 말씀을 드립니다.다만 , 스터디 그룹의 경우 원하시는 분들을 연결해 드리는데 도움을 드릴수는 있을것 같습니다.그 방법에 대해서 따로 생각해본적은 없는데, 지금 단순하게 드는 생각들을 말씀을 드리면이 시험의 특성상 자주 만나서 진행을 해야하고, 그러다보면 같은 권역에 사시는 분들끼리 진행을 하시는게 현실적일거라 생각됩니다.그런데 거주하시는 지역에서 스터디를 희망하는 다른 분이 계신지를 알수가 없으니 시작이 어려울거라 생각이 되어서, 공지사항 등을 통해서 스터디 참여 희망하시는 분들이 어느정도인지 확인을 하고, 같은 권역(또는 원하시는 권역으로)의 희망자분들을 연결해드리는 일은 제가 어느정도는 도움을 드릴수 있을것 같습니다.물론 스터디그룹을 위한 별도의 게시판이 없는 상황이다보니 스터디를 만드시려는 분들이이 곳 질문 게시판등을 이용해서 모집을 하실수도 있겠지만, 혹시라도 개인정보가 직접적으로 노출되는 점이 걱정되시거나, 직접적으로 추진하기에는 부담이신 분들도 계실수 있을텐데스터디를 희망하지만 그런 이유로 망설여지시는 분들이 조금이라도 부담을 덜 수 있게 저에게 스터디 참여 희망 여부를 알려주시면 매칭을 해드리는 일은 도와드릴수 있을것 같습니다.저도 지금 떠오르는 생각들을 정리없이 말씀드리는거라서 어떻게 하면 제일 좋을지에 대해서는 의견도 듣고, 더 고민을 해보긴해야겠지만 어쨌든 이런 형태의 도움을 조금이라도 드릴수 있을것 같으니 며칠내로 공지등의 방법으로 관련 내용에 대해서 의견수렴을 하는 시간을 갖도록 하겠습니다! 수강생 여러분들의 합격을 위해서 다양한 방법으로 지원을 해드리고 싶은 마음은 정말 크지만,제 개인적인 여러 상황들때문에 현실적인 제약이 많아서 죄송한 마음 뿐입니다. 며칠내로 관련된 내용 공지로 올리도록 하겠습니다!

백업 파일 관련

안녕하세요 ys_lab님!네. 맞습니다. 말씀하신것처럼일반적으로 파일이 새로 저장이 되고 백업파일이 생성되는 경우에는 기존 파일명은 그대로 유지하고 확장자가 .bak 이라는 형태로 변하는 편입니다.영상에서도 말씀드렸듯이, 지난 25회 시험에서 어떤 형태로 은닉을 했는지 등에 대한 자세한 정보가 확인이 되지 않기때문에 이런 방법으로 은닉했지 않을까 하는 어디까지나 제 개인적인 추측을 반영한 내용이었습니다. 이해하신것처럼 수정 후 저장을 했고, 그래서 수정전 기존 파일은 .bak으로 저장이 됐지만, 이를 은닉하기 위해서 파일명도 고의로 수정을 한 형태입니다. 이렇게 파일명도 변경을 하고, 저장 위치도 기존과 다른 곳으로 옮기는 경우에는 쉽게 찾을수가 없게 되는데, 이럴 경우에는 NTFS LOG 분석을 통해서 파일명의 변경과 파일의 이동을 확인하는 방법이 있고, 파일용량이 동일하다는 가정하에 검색해서 나오는 파일들을 확인해보는 방법이 있습니다.다만 파일 용량의 경우에는 수정 전 파일인 bak 파일과 수정 후의 파일의 용량이 다를수가 있습니다.연습문제에서는 바이트 단위로 일부만을 다른 값으로 채워넣는 방법으로 변경을 했기때문에 용량이 같을수는 있지만, 만약에 특정 부분을 아예 잘라내는 형식으로 삭제를 한 경우에는 용량의 차이가 있을수 있기때문에 이부분도 참고해서 봐주세요~