질문있습니다!

네 언제든지 질문주시면 최대한 빠르게 답변 드리겠습니다. 즐거운 명절되세요~ :)

안녕하세요 jee님~

1. 디스크용량

네. 파일시스템(fat32, ntfs)과 상관없이 말씀하신대로

[총섹터수 X 섹터당용량] 으로 계산하시면 됩니다.

다만 전에드린 답변에서 보신것처럼 ftk imager에서 선택하는 곳에따라 디스크, 볼륨등 정보가 다르게나오기 때문에 반드시 디스크인지 볼륨인지 확인해주세요~

급하면 실수하기 쉬운 부분입니다~

2. 네. 해당화면을 캡쳐해서 보고서에 붙여주시면 됩니다! 다만 해당파일도 반드시 추출하셔서 증거파일로 같이 첨부해주세요. 캡쳐만 하시고 파일은 제출안하시면 시험채점시 채점기준에따라 감점 또는 인정이 안될수도 있습니다.

    

궁금한 점이 있으시면 언제든지 부담없이 질문주세요~ :)

안녕하세요 Jee 님!

우선 말씀하시는 이미지 파일이, '우유값 담합' 관련 시나리오의 이미지 파일이 맞으시죠?

질문주신 순서대로 답변 드릴게요~

1. 디스크 전체 용량

✔ 결론 : 알고 계신 수식은 '볼륨의 용량'을 구하는 방법이기 때문입니다!

우선 이 부분은 말씀하신 내용을 봤을때, 포렌식학회에서 발간한 책의 설명에서는

'디스크 전체용량 = 4,051,697,664 Bytes (3.8GB)'

라고 되어있는데, 알고 계신 용량을 구하는 방법대로 계산했을때는 4,051,693,568 Bytes가 나와서 이부분이 이해가 안되신다는 말씀 같아요.(제가 잘못 이해했다면 말씀해주세요~)

이걸 이해하기 위해서는 '용량'을 얘기할때 먼저 정확히 어떤 용량을 의미하는지를 구분을 해야합니다.

쉬운 예로(볼륨과 파티션의 차이 등은 무시하고) 500GB의 하드디스크가 있고 이 하드디스크에 파티션을 2개로 나누었는데, 1번 파티션은 300GB, 2번 파티션은 200GB로 나누었다고 가정을 해보겠습니다.

이 경우 디스크(하드디스크)의 전체 용량은 500GB 이고, 1번 파티션의 용량은 300GB(예를 들어 C:), 2번파티션의 용량은 200GB(D:) 이겠죠? 이렇듯, 용량에 대해서 파악을 할때는 디스크에 대한 용량인지, 아니면 볼륨에 대한 용량인지를 확인을 해야 정확한 용량을 파악할 수가 있습니다.

책에 나온 설명을 보시면 [매체정보 확인]이라는 표에서

• 볼륨 전체 가용 용량 : 4,051,693,568 Bytes

• 디스크 전체 용량 : 4,051,697,664 Bytes

   

로 확인이 되시죠?

이 얘기는 A라는 매체(하드디스크, USB 등)의 용량은 4,051,697,664 Bytes인데 그 매체 안에 있는 하나의 볼륨의 용량이 4,051,693,568 Bytes이다 입니다.

Jee님이 알고 계시는대로 파일시스템별 볼륨의 용량을 구하는 방법은

FAT32 : {전체 섹터수 X 섹터당 용량} - (4096 X 1024)

NTFS : (전체 섹터수 X 섹터당 용량) - 클러스터의 크기(예: 4096bytes) 입니다.

다만 이 방법은 하나의 볼륨 용량을 계산할때 쓰는 방법으로, 디스크 전체 또는 USB 전체의 용량을 구하는 방법은 다릅니다.

해당 이미지를 FTK Imager에서 확인한 순서대로 보여드릴게요.

1) 디스크 용량 확인

해당 이미지 파일을 불러온 뒤 이미지파일명 부분을 클릭하면 아래에 Properties에서 [Drive Geometry] 항목에 Bytes per Sector(섹터당 용량) / Sector Count(섹터수)를 확인 할 수 있습니다.

만약 이 이미지가 USB를 이미징한 파일이라면, 위의 정보는 해당 USB의(디스크) 전체 섹터수를 의미합니다.

이 USB에는 총 7,913,472개의 섹터가 있고, 섹터 하나당 용량은 512Bytes 라는것을 확인할 수 있죠.

위의 정보를 확인했으니 이 디스크의 용량을 계산할 수가 있겠죠?

'디스크'의 용량 = 총 섹터수 X 섹터당 용량 = 7,913,472 X 512 = 4,051,697,664 Bytes

책에 나온 매체정보확인 표에서 '디스크 전체 용량'과 동일하죠? 말그대로 디스크의 전체 용량입니다.

2) 볼륨 용량 확인

이제 볼륨 부분을 한 번 확인해볼까요?

[NONAME [NTFS]]라는 부분을 클릭하면 'Properties'에 'File System Information'이라는 항목이 보이면서 [Cluster Size]와 [Cluster Count]를 확인할 수 있습니다.

아시겠지만, 클러스터 사이즈는 하나의 클러스터 용량을 의미하는 것으로 4,096 Bytes로 되어있습니다.

클러스터는 섹터의 집합이라고 말씀을 드렸죠? 몇 개의 섹터가 하나의 클러스터로 구성되어서 윈도우즈 시스템에서는 그 클러스터 단위로 저장을 하게 되는데, 위에서 하나의 클러스터의 크기가 4096Bytes라고 확인을 했으니 이 정보를 앞에서 확인했던 섹터당 용량인 512Bytes와 연결시키면 클러스터당 섹터의 수가 8개라는 것도 확인을 할 수 있습니다. (512Bytes(섹터당 용량) X 섹터의 수(8개) = 4,096Bytes)

그런데 우리가 알고 있던 볼륨의 용량을 구하는 방법은

'NTFS : (전체 섹터수 X 섹터당 용량) - 클러스터의 크기'로 전체 섹터의 수를 알아야하는데 섹터의 수가 나와있지 않죠?

이럴경우라고 해도 우리는 이미 클러스터의 크기와 총 클러스터의 수를 알고 있기 때문에 계산을 할 수 있습니다.

• (전체 섹터수 X 섹터당 용량)-(클러스터 크기) = (클러스터의 용량 X 클러스터의 수) 와 같기 때문입니다.

   

클러스터의 용량 X 클러스터의 수 = 4,096 X 989,183 = 4,051,693,568Bytes 로 이 NTFS 볼륨의 용량은 4,051,693,568Bytes 입니다. 조금 헷갈리실수도 있으니, 원래의 방식대로 계산을 해보면

• (전체 섹터수 X 섹터당 용량) - (클러스터의 크기) 에서 섹터당 용량과 클러스터의 크기는 이미 확인했으니 전체 섹터수만 알면 되는데, FTK Imager에서 따로 나와있지는 않으나 계산할수는 있겠죠?

• 클러스터의 크기 = 섹터당 용량 X 클러스터 1개당 섹터의수 = 512bytes X 8개 = 4,096 이니

클러스터의 수 X 8 = 볼륨의 총 섹터수 = 989,183 X 8 = 7,913,464개 이며 이를 알고 계시는 식에 넣어보면

• (전체 섹터수 X 섹터당 용량) - 클러스터의 크기 = 7,913,464 X 512 = 4,051,693,568 Bytes

이렇게 구할 수가 있습니다.

단순히 A는 '디스크'용량이고 B는 '볼륨'용량입니다~ 라고 설명드리면 오히려 헷갈릴수 있으실것 같아서 조금 길게 써봤는데 이해가 되셨을까요? 중요한건, 문제에서 정확히 어떤 부분을 묻고 있는지 파악을 하셔야 정확한 답을 찾을 수 있을 것같습니다.

여담입니다만, 보통 출제시에 '~매체에 대해', '~볼륨에 대해' 형태로 구분을 지어서 문제가 나오는 편입니다. 그렇다보니 책에서처럼 USB에 대한 정보와 볼륨에 대한 정보를 한번에 쓰지는 않거든요. 참고만 해주세요.

출제자의 의도가 책에서 나온것처럼 쓰길 원했다면 그게 답이겠지만, 보통은 구분해서 별도로 질문을 하는 편입니다.

2. 한글 파일의 내용 확인이 어려울 경우

    

   말씀하신 파일들을 autopsy와 한글 프로그램에서 확인하셨을때 아마 아래와 같이 보이셨을거예요

이건 책에서 설명되어있듯이 한글 파일이 손상되어서 정상적으로 확인을 하실 수 없기 때문인데,

코드 페이지(Encase)를 변경하면 확인이 가능합니다. Encase에 비해서 조금 부족하긴 하지만 Autopsy에서도 확인할 수가 있는데, 해당 파일을 선택한 상태에서 [Text]탭 - [Strings] > Script : Hangul로

변경해 보시면 아래와 같이 확인가능한 내용들은 한글로 확인하실수 있습니다.

조금 자세히 쓰려다보니 많이 길어졌네요 ;

다른 궁금한 점이 있으시면 언제든지 질문 주세요~ :)