질문입니다.

안녕하세요 수석반장님!

말씀하신대로 20회시험처럼 증거 USB가 아닌 증거USB를 이미징한 파일을 직접 제공할 경우에는

이미지 생성과정이 필요없습니다(당연히 쓰기방지 할 일도 없겠죠)

이 부분이 조금 헷갈릴 수 있어서 잠깐 정리해드릴게요.

시험유형 1. 증거 USB를 제공하는 경우

시험유형2. 증거 USB가 아닌 증거USB를 이미징한 이미지 파일을 제공하는 경우

제가 알기로는 20회 시험 이전까지는 유형 1번 형태만 출제가 됐습니다.

그런데 20회시험에서 증거 USB 자체가 아닌, 직접 이미징한 파일을 제공을 했죠?

전혀 생각하지 못한 형태였기때문에 20회시험 보셨던 분들을 당황할 수 밖에 없으셨을 것 같아요.

우선 시나리오를 잘 확인하셔야합니다!

위의 2가지 중 어떤 형태인지를 확인하시기 위해서는 시나리오에 어떻게 써있는지를 보셔야할 것 같아요.

시나리오1. ~ 경찰청 사이버수사대 OOO 경위는 현장에서 USB를 발견하였다. (중략) 이 증거 USB를 분석하라.

시나리오2. ~ 경찰청 사이버수사대 OOO 경위는 현장에서 USB를 발견하여 사본을 생성하였다. 이 사본을 분석하라.

제가 20회 시험 시나리오를 확인할 방법이 없다보니 추정하여 간략하게만 써봤습니다.

19회 시험까지는 시나리오에 '현장에서 USB 등을 발견' 하였고, 이를 가지고 범인을 찾아라. 유출 경위를 파악하라. 증거 USB를 분석하라 형태로 나왔고,

20회 시험에서는 시나리오에 '노트북, USB를 발견하여 사본을 생성하였다' 라는 내용으로 나왔을 것으로 추정 됩니다.

시나리오에서 분석대상이 증거 원본인지, 아니면 증거의 사본인지를 표현을 해줄거라 생각되는데,

우선 시나리오에 얘기하는 분석대상을 정확히 확인하셔서, 시험관리본부에서 제공하는 USB가 증거 원본인지,아니면 이미징한 파일을 담은 단순 저장용 USB인지를 확인하셔야 할 것 같습니다.

1. 증거 원본인경우 : 강의에서 보셨던 것 처럼 쓰기방지 등 원본 훼손을 막기 위한 사전 준비를 다 해주시고

FTK Imager등을 이용해서 증거 USB의 사본을 생성한 뒤, 사본 이미지 파일을 가지고 파티션 복구가 필요한 경우 파티션 복구를 하고, Autopsy나 Encase등의 디지털 포렌식 분석 프로그램에 불러와서 분석을 진행해주세요.

2. 증거의 사본 이미지 파일일 경우 : 이미 증거사본을 받은 상태이기 때문에 쓰기방지, 이미징 등의 작업은 필요없습니다. 파티션 복구가 필요한 경우 파티션 복구 작업을 진행하고, 분석 프로그램에 불러와서 분석을 진행해주세요.

3. 만약 20회 시험처럼 사본 이미지 파일을 받으셨을 경우, 특정 이미지 파일의 내용이(내부 파일들이) 확인이 안되는 경우라면 기본적으로 파티션 훼손을 의심해주세요.

    

   (물론 20회시험처럼 Bitlocker로 볼륨이 암호화되어 접근이 불가능한 경우도 있습니다)

    

   다만 파티션 복구의 경우 RAW파일(dd, 001)이 필요한데, 제공된 파일이 .e01 파일이라면 FTK Imager에서 이미지 생성하는 방법대로 이미지를 새로 생성하시면 되는데, 증거 원본이 없기 때문에 USB를 이미징할 필요는 없습니다. 그럴 경우 똑같이 FTK Imager의 이미지 생성메뉴로 들어가서, 원본 매체가 USB인 경우 Physical Drive로 선택했었지만 이 경우에는 Image 파일로 선택한 뒤, 복구해야하는 .e01을 원본으로 해서 형식은 DD(RAW)로 진행해주시면 됩니다. 그렇게 이미지 생성이 끝나면 새로운 이미지 파일(설정한 파일명.001)이 생성되며, 이 파일을 HxD에서 불러와 파티션 복구를 해주시면 됩니다.

    

    

   ✅ 이미지 파일을 제공한 경우, 이미지 파일이 담겨져 있던 USB는 단순히 저장용 USB이므로 증거와 전혀 상관이 없습니다. 이 USB를 이미징 하실필요가 없으니, 제공된 이미지 파일을 가지고 작업해주세요~

    

⛔ 질문내용과는 전혀 상관없는 다른 이야기이지만,

개인적으로는 20회시험에서 증거USB가 아닌 사본 이미지를 제공하는 형태로 문제가 나온 만큼 연이어서

같은 방식으로 출제가 되진 않을것 같다는 생각이 '아주 소심하게' 듭니다.

20회 시험의 방식은 기존 방식에 약간 변화를 주기 위해서나, 또는 시험관리측면에서 편의를 위해서 그런게

아닌가 생각이 드는데, 어찌보면 1회성의 변화일 가능성도 있을것 같습니다. 그래서 기존처럼 증거 USB를

주고 직접 쓰기방지와 이미지하는 방식으로 다시 돌아가지 않을까 하는 생각이 들기도 하는데,

만약에, 아주 만약에 (증거USB를 제공하는 방법에) 조금 더 변화를 주려고 한다면

증거USB를 제공하는 기존 방식으로 진행이 되는건 동일하지만, 그 USB안에 또 다른 이미지 사본이

들어있는 형태로도 가능하겠다는 끔찍한 생각이 갑자기 들었습니다.

예를 들면 이런 형태겠죠

'경찰청 사이버 수사대 OOO 경위는 현장에서 USB 1개를 발견하였다. 디지털 포렌식 분석실에서

해당 증거 USB를 연결하여 확인을 한 결과, 다수의 사진·문서 파일과 함께 이미징한 파일(.e01)을 발견

하였다. OOO 경위는 해당 이미지 파일에 접근하려 했으나 접근이 불가능 하였다'

제가 너무 간 것 같은 생각이 들어서 오히려 혼란을 드릴까봐 말씀 안 드리려다가

20회 시험이 그정도로 생각지도 못한 형태로 나왔기 때문에 혹시 몰라서 당황하지 마시라고 말씀드려봤습니다.

...설마 이러진 않겠지만, 또 마음 먹으면 못할 것도 아니기 때문에 참고만 해주세요.

뭔가 복잡해 보이지만 알고 계신 그대로 진행하시면 됩니다.

우선 증거 USB자체니까 쓰기방지 등의 절차를 거쳐서 사본 이미지 파일을 생성하시고, 그 안에서 발견한 이미지파일은(증거 USB 안에 있던거니 경찰에서 이미징한게 아니라, 용의자가 이미징 하여 담아놨던 파일이겠죠) 접근이 불가능한 이유(파티션 훼손 또는 Bitlocker로 암호화 등)를 파악해서 복구 또는 복호화 하면 접근이 가능하겠죠? 처음보는것 같은 유형으로 시험이 시작되더라도 위의 경우처럼 이미 알고 있는 내용을 한 번 더 꼬아서 낸 경우에는 차분히 생각해보시면 해결 가능하니 당황하지 마세요~!

마지막에 이야기하신 부분 끔직한 상상의 경우, 분석을 위하여 해당 usb를 복제하여 이미지 파일을 생성하면 사진을 포함한 이미지 파일이 1개의 이미지파일로 생성되는데, 옵토시로 사진 등 파일의 분석은 바로 진행하면 되지만 분석을 위하여 생성한 이미지파일 내의 제공된 이미지 파일은 어떻게 분석 또는 복구를 해야하나요?

ftk 이미저로 usb 피지컬 드라이브로 불러와 원본 생성하는 것이 아니라 해당 usb를 쓰기방지 설정 후 그냥 옵토시로 사진 등 파일은 바로 분석하고, usb내 이미지파일은 처음 이야기해주신 것 처럼 ftk 이미저로 이미지파일을 확인 후, 문제 있는 파티션이 발견되면 ftk 이미저로 이미지 파일을 불러와 dd파일로 사본 생성 후 복구하고, 분석하면되는 것이지요?

현업의 업무로 바쁘신 걸로 알고 있는데 빠른 답변 너무 너무 감사합니다.

저번 시험에 처음 응시하면서 말씀대로 많이 당황했었고, 더 나아가 우려하시는 부분이 나오면 어쩌나 저도 고민했는데 예를 들어 상세히 설명해주셔서 감사합니다.

기초가 부족하다보니 시험장에서 다른 상황을 만나면 아직은 응용이 어려운 것 같은데 답변 내용을 토대로 잘 준비하겠습니다~!!! 감사합니다.

그리고 확인결과 이미지 파일을 복구해야하는 경우로 확인되면 해당 이미지 파일이 포함된 usb를 phycical drive - dd 파일로 생성해서 복구해야하는 것인가요

ps> 기초가 너무 없어서 저번에 시험 볼 때 이미지파일이 바로 제공되었던 것 같은데 어떻게 해야 하나 잘 모르겠더라구요