24회 2급

안녕하세요 llllllllllllll 님 !먼저 도움 말씀주셔서 감사합니다! 시험을 파악하는데 아주 작은 것이라도 제겐 큰 도움이 되니 절대 그런 걱정하지마시고 부담없이 말씀해주세요 :)1) 시나리오에서는 압축에 대한 언급은 없고, 그냥 은닉에 능할것으로 추정된다는 정도의 내용이었다는 말씀이시죠? 직접적으로 압축을 언급했다면 조금 더 신경써야할텐데 그렇지 않고 '은닉'만 언급했으니 확장자변조, 파일명 변경, 스테가노그래피, 파일 저장위치 변경 등을 신경쓰라는 힌트를 준것으로 보이네요. 2) 판례는 말씀처럼 일부만 요약해서 제공을했다면, 말씀하신 것 처럼 해당 판례를 알고 있지 않는이상 제대로 답을 작성하기가 매우 어려웠을것으로 보입니다. 아직 출제되지 않은 디지털 포렌식 관련 판례를 이제는 적어도 조금이라도 공부하고 가야한다는 상황이 된것으로 보이며, 공부할 것들이 점점 많이 지는것 같습니다 ㅜ_ㅜ 3) 거래장부.zip의 시그니처는 말씀해주시는 분마다 조금씩은 다르지만 공통적인건 7* 으로 시작하는것 같은데, 우리가 알만한 7*로 시작하는 확장자는 없는 것으로 알고 있습니다. 우선 이부분은 여러가지 방법으로 확인하고 있으니 그 내용은 24회 리뷰 강의 두번째 영상에서 말씀을 드릴게요. 리뷰강의에 올라간 내용은 어디까지나 추정인 내용이 너무 많다보니 사실과 다른 내용이 있을수 있습니다. 그러니 참고만 하시고 합격여부에 대해서는 공식 발표가 있을때까지 기다려보시는게 좋을것 같아요~ !!

안녕하세요 AutoPsy 교재 p265쯤 오류가 있는거 같아 질의드립니다

안녕하세요 유창범님!확인해보니 교재 만들면서 제가 실수를 한 것 같습니다 말씀하신것처럼Windows Portable Devices 키를 확인하기 위해서 필요한 하이브 파일의 위치는 [Windows\System32\config\SOFTWARE] 가 맞습니다.교재 및 관련 영상 최대한 빠르게 수정해서 올린 후 별도 공지로 안내하도록 하겠습니다.말씀해주셔서 감사합니다 !! :)

시험중 Encase process 기능 문제

안녕하세요 Sid님!먼저, 시험 보시느라 고생많으셨습니다 !말씀하신 문제는 조심스럽긴 하지만 Encase 자체의 문제라기보다는과부하, 오류 등의 시스템과의 문제가 아니였을까 싶습니다.Encase 분석 완료후에 사용자가 별도로 특정 행동을 해야하는건 없습니다. 오히려 신경을 안쓰고 있으면 분석이 완료됐는지도 모를 정도로 별도의 완료 메시지가 팝업된다거나 특정 행동을 요구하지 않거든요.프로세스가 100%까지 진행이 되어도 바로 되는게 아니라 상황에 따라서 조금 더 시간을 요하는 경우는 있지만 오랜시간 진행이 안되거나, 중간에 save 등의 행위를 했을때 다운되버린다면(분석 진행중에 save를 하셨다는말씀이시죠? 이 부분은 과부하가 걸릴 가능성이 높아보이긴 합니다. 보통 분석 중에는 저장하기 등의 행동을 안하긴 하거든요)과부하로 인한 가능성이 매우 높아보입니다.

연락방법

안녕하세요 ljh900731님!먼저 시험 보시느라 고생하셨습니다!시험과 관련해서 궁금하신점은 이곳 질문게시판에 남겨 주셔도 되고, 개인적으로 질문주시려는경우nstyxn@gmail.com으로 메일 부탁드립니다~

스테가노그래피 확인 관련 문의드립니다.

디포합격하자님 안녕하세요~해당 파일을 확인후 정확히 말씀드려야하는데제가 지금 출장중이여서 직접 확인이 어렵다보니 간단하게나마 말씀을 드리겠습니다. 파일명을 보니 아마 실습 시나리오에 포함된 파일같습니다.Ff d9로 끝난이후 옆을 보면 image UTC 숫자 형태인걸로봐서 아마 시간정보가 기록이 된것 같은데,말씀하신 ff d9이후 값을 다 포함시킬지 여부는 우선 원칙적으로 ff d9가 jpg파일의 eoi이니 그렇게 생각을 해주시고(물론 ff d9가 eoi가 아닌 데이터값이라면 당연히 안되겠죠)헷갈리시는경우, ff d9까지만 잡고 복사 붙여넣기한 파일과 위의 경우처럼 끝에 있는 부분까지 다 포함해서 복사 붙여넣기한 파일을 비교해보시는것도 방법입니다(별다른 상황이아니라면 열리는 이미지는 동일할겁니다) 우선은 내일 시험이 제일 중요하니 시험에서 이런상황이 생길경우 2개의 파일을 만들어서 비교해보시면 될것 같습니다. 모바일로 쓰는거라 자세히 쓰기가 어려워서 답변이 조금 부실할수도 있을것 같은데 양해 말씀드립니다 ㅜㅜ

보고서 정리

안녕하세요 yhoon047님!질문주신 순서대로 답변 드릴게요~ 1.단답형 문제의 답안 작성문제에서 요구하는 답만 작성을 하셔도 큰 문제는 없습니다.(예) 문) 총 섹터수를 구하라 > 답) 1,000,000 개문) 운영체제 설치일은 언제인가 > 답) 2025.6.10.단 이렇게 답만을 기재하는것은 가장 기본적으로 들어가야할 부분이고, 문제에서 요구하는 답을 찾는 과정을 함께 써주는것은 +α 정도로 생각하시는게 좋을것 같아요.시간여유가 있거나 찾는 과정을 함께 작성하는데 큰 시간이 들지 않는다면 함께 써주는게 가장 좋을것 같고, 시간 여유가 없다면 우선 최소한 문제에서 요구한 답만 작성하는 것으로 방향을 잡아주세요~ 파티션/볼륨 정보의 캡처이미지 네, FTK Imager에서 확인한 propreties 부분만 캡처해서 추가하셔도 문제가 없습니다.다만 이 부분도 1번 질문에서와 같이 조금 더 '티'를 내고 싶다면 hxd에서 해당 값이 어디에 위치하고그걸 확인했더니 어떤 값이 나왔는데 빅엔디안으로 변환해서 확인하면 ~~한 값이 나왔다 라고하는 방법도 있겠죠.이 부분도 최소한 프로그램에서 분석한 내용을 캡처해주고, 나머지는 +α 정도로 생각해주세요 파생증거에 대한 첨부유무1개의 증거를 확인했는데 그 파일을 분석 하면서 그 원 증거파일로부터 추가로 생성되는 등 파생된 증거파일은 함께 제출해주세요!개인적으로는 파생된 증거에 대해서 반드시 제출을 해야할 필요는 없다고 생각하긴 합니다만, 어차피 확인을 위해서 추출한 파일이고 추가로 제출하는데 큰 어려움이 있는게 아니기때문에 이왕이면 같이 제출해주시는것을 권해드립니다.말씀하신 예 처럼 A.jpg라는 이미지를 확인했고, 분석을 해보니 a.jpg 안에 b.hwp 라는 파일을 숨겨놓은 경우, 확인을 위해서 b.hwp 부분을 분리 저장해서 확인을 하겠죠? 그렇게 추가적인 내용이 확인이 됐다면 b.hwp 파일도 증거로 함께 제출을 해주세요보고서에도 이러한 과정을 써주세요~(예: a.jpg 파일을 확인해보니 스테가노그래피 파일로 확인이 되었고, 숨겨진 내용을 분리해서 b.hwp로 저장후 열어서 확인해보니 ~라는 내용을 확인할 수 있었다 + 각각의 캡처 이미지 첨부) 우선 질문주신 내용별로 답변을 드렸는데, 답안 작성에 있어서 공통된 부분을 다시 한번 정리하자면전제 : 채점기준을 정확히 알수는 없지만 디지털 포렌식을 할 수 있는 기본적인 능력을 확인하는 시험이라는 점을 생각해봤을때, 단순히 프로그램에서 분석해준 내용을 답안으로 쓰는것과 프로그램에서 분석해준 내용이 어떻게 해서 그런 값이 나오는지 이해하고 관련 내용을 쓰는것이 추가점을 받을 가능성이 있다고 가정답안은 자세하면 자세할수록 좋습니다.하지만 모든 걸 자세하게 하나하나 다 쓰기에는 시간의 문제가 있으므로 가능하다면 자세히 쓰는게 좋지만 시간을 봐가면서 최소한 정답에서 요구하는 답을 단답형이라도 써주시고 시간이 된다면 추가로 이러한 값을 어떻게 구했는지에 대해서 설명을 해주세요.캡처 이미지는 중요한 부분만 첨부해주세요. 너무 없어도 안되겠지만 그렇다고 너무 많다고 점수를 더 받는건 아닙니다. 핵심적인 부분만 넣어주시는게 여러모로 좋습니다.문제에 '~~ 과정을 기술하라' 식으로 찾는 과정에 대한 언급이 들어갔다면 무조건 전체 과정을 써주셔야합니다. 채점기준이 공개된것이 아니다보니 어디까지나 제 추측으로 말씀을 드리는것 인 점을 감안해주시고요,그래도 이게 기본이 되지 않을까 하는 생각이 듭니다.자세하게 쓰는것도 중요하지만 시간을 봐가면서 완성된 보고서를 제출하시는게 가장 중요합니다 !

혹시 단축키 관련 강의도 찍어주실 수 있으실까요?

안녕하세요 KMS님!죄송하게도 말씀하신 부분에 대해서 현재까지는 별도의 영상 촬영 계획이 없습니다.이 부분은 나중에 기회가 되면 고려해보겠습니다 ㅜ_ㅜ다만 말씀해주신 단축키 외에 시험장에서 도움이 될만한 몇개만 추가하자면(다들 아시겠지만)Win +D - 모든창을 비활성화시키고 바탕화면으로 전환Alt + Tab - 현재 실행중인 프로그램간의 빠른 전환(Alt를 누른 상태에서 Tab을 여러번 눌러서 전환하고자하는 프로그램 선택) 이 두개의 단축키는 알고가시면 시간 절약에 도움이 되실 것 같습니다.

파티션 복구 관련 질문

안녕하세요 jm99142님!GPT 파티션 복구가 필요한 이미지를 Encase에서 복구할 경우를 말씀하시는거죠?안타깝게도 이 부분에 대한 답변을 드리기가 어렵다는 말씀을 드려야할것 같습니다.강의소개에도 안내드린것처럼 제가 더이상 Encase를 사용할 수 없는 상황이어서Encase에 대한 추가 강의 및 질문에 대한 답변이 어렵습니다.말씀하신 부분을 제가 직접 해봐야 말씀을 드릴수 있을텐데 그럴수가 없다보니 답변을 드리지 못하는 점 다시 한번 양해의 말씀을 드립니다 ㅜ_ㅜ

vmware 관련 질문드립니다.

안녕하세요 KMS님!1. VMware 강의 VMware에 대한 별도의 강의는 현재 등록된게 없습니다. 다만 21회 시험리뷰강의와 실습시나리오 4에서 다루고 있으니 참고 부탁드릴게요~ 1) [섹션16 시험리뷰]-[공통]2급 21회 시험 리뷰 1 - 0:0:0~0:07:40 : vmware 프로그램 설치 > 이 영상에서 안내하는 pro버전은 최근에 무료로 공개됐으니 그냥 다운로드 받으시면 됩니다! - 0.23:22~0:42:33 : vmware 간단 사용방법 2) [섹션17 실습시나리오4] - 실습시나리오에 vmdk 파일에 포함되어있으며, [실습시나리오 풀이 4-3]의 0:12:02~ 부터 관련 내용 확인하실수 있습니다. .hc 확장자 .hc 확장자 파일은 볼륨 암호화 프로그램인 베라크립트의 암호화 키파일 확장자입니다. 위와 관련된 내용은 [섹션 15. 보충강의]- [공통]VHD, Veracrypt 강의에서 다루고 있으니 참고해주세요~ 말씀하신것처럼 24회 시험에서는 VMware 프로그램을 제공하지 않기때문에 위의 강의 영상에서 다룬vmware 설치와 vmdk 파일을 어떻게 연결해서 가상화 환경을 만드는지 등의 내용은 시험에서다룰일이 없을것 같습니다. 다만 Vmware 프로그램이 없는경우라도 시나리오 4에서 다룬것처럼vmdk 파일을 직접 분석하는 등의 방법으로도 시험에 나올수 있는만큼 vmdk 파일이 무엇이고어떻게 확인할수 있는지 등에 대한 기본적인 내용을 알고 가시는게 좋을것 같습니다. 또한 .hc 파일의 경우 아직까지 출제된적은 없지만 암호화 관련해서 출제될 경우에는 베라크립트는 필수적으로 알아야할 프로그램입니다. 그렇게 길고 복잡한 내용은 아니다보니 해당 강의는 가볍게 한번 보시는걸 추천드립니다. 추가로 질문주신 내용과 관련해서NTFS Log Tracker 와 Mail Viewer 등 몇개 프로그램은 별도의 강의가 아닌 시험 리뷰 영상 등에서 간접적으로 다룬 적이 있습니다.관련내용이 나오는 강의는1) NTFS Log Tacker [섹션 16. 시험 리뷰]-[공통]2급 22회 시험 리뷰 1 1:40:52~2) Mail viewer - [섹션 16. 시험리뷰]-[공통]2급 22회 시험 리뷰2 0:23:30~을 참고해주세요~ 시험본부에서 제공하는 프로그램들은 동일한 목적의(동일한 성격의 아티팩트 분석) 프로그램을 여러종류 제공하는 경우가 있습니다. 그러한 프로그램 중 Encase나 Autopsy에서 동일하게 확인할수 있는 내용을 다루는 프로그램도 다수 있어서 모든 프로그램을 다 알고 가야하는것은 아닙니다.며칠내로 24회 시험에서 제공되는 프로그램에 대해서 간단하게나마 말씀을 드릴 예정입니다나머지는 그때 공지를 통해서 말씀드릴게요~

Autopsy 분석 소요 시간 문제

안녕하세요 jj kim님!말씀하신 시나리오 1번의 dd파일을 autopsy로 분석을 돌렸을때,강의영상에서 선택한 인제스트 모듈은1) Recent Activity2) Hash Lookup3) File Type Identification4) Extension Mismatch Detector5) Embedded File Extractor6) Picture Analyer7) Keyword Search8) Email Parser9) Encryption Detection이렇게 9개였던것으로 알고 있습니다.Autopsy 버전에 업데이트 되면서 분석시간에 영향이 있는지 확인하기 위해서 업로드된 시나리오 1번 파일을 다운로드 받아서 파티션 복구후에 위의 분석옵션으로 동일하게 분석을 진행해봤는데 약 20분정도 걸렸고, 분석에 사용된 컴퓨터의 사양은 AMD 라이젠5, 16GB, Win10 Pro 입니다. 그래서 키워드 서치 옵션을 제외하고 다시 분석을 돌렸을때는 약 5분정도 시간이 걸렸습니다.이러한 조건별 분석소요시간과 분석된 아티팩스 수를 비교를 해보면 아래와 같습니다.(사진)강의영상과 동일한 조건에서는 Metadata수와 Entension Mismatch Deceted 의 수가 조금적게 나오긴 했는데, 분석결과에 잡히는 내용들 중 문제가 없는 정상적인경우도 많기때문에 업데이트되면서 조금 더 잘 걸러주게 된게 아닌가 하는 생각이 드는데, 저정도 차이는문제가 없다고 생각이 들고, 무엇보다 분석시간에서도 유의미한 차이가 나진 않았던것 같습니다.최근의 시험들을 진행하면서 autopsy 분석시간에 대한 문제가 계속 언급되고 있어서몇 회 전 부터는 분석시에 'Keyword Search' 옵션을 끄고 분석을 진행하시고, 필요시에 추가로 분석을 진행하시는것으로 권장을 드리고 있는데요, 이 시나리오 역시 Keyword Search 옵션을 끄고분석을 한번 진행해보시고 시간이 어느정도 걸리는지 한번 봐주세요.키워드 서치는 실제로는 매우 중요한 기능이긴 하지만, 시간제약이 있는 시험의 특성상 활용하기에어려운게 사실이다보니 우선은 분석을 돌리지 않는것으로 권해드립니다.그리고 확인을 한번 해보실만한 부분이, 키워드 서치를 돌릴경우라고해도, 아래의 캡쳐 화면처럼키워드 서치 모듈의 옵션을 설정하는 화면에서 'Select Keyword lists to encable during ingest'의각 항목(Phone numbers, Ip Addresses 등)이 모두 체크가 해제가 되어있는지 확인한번 해보시는것도 좋습니다.아래 화면은 이미 분석이 완료된 화면이여서 처음 분석 인제스트 모듈 선택시의 화면과는 조금 다른데,(사진) 이 부분이 칸이 작게 나오면서 마우스 스크롤로 넘기다보니 체크되어있는데 확인 못하는 경우가 생기기도 합니다. 확실히 모든 부분에 체크가 해제되어있는지도 한번 확인해보세요! 성능만 봤을때 제가 분석한 컴퓨터보다 더 좋으신데 1시간이 지났음에도 분석이 완료되지 않았다는것은아마도 인제스트 모듈 선택에서 놓친 부분이 있지 않을까 하는 생각이 듭니다.다시 한번 인제스트 모듈의 옵션을 확인해보시고, 그래도 문제가 없었다면 키워드서치는 제외하고 분석을 한번 돌려봐주세요. 시나리오1번 이미지는 윈도우즈가 포함되지 않아서 파일수 등이 매우 적은 편입니다. 그럼에도 불구하고 1시간이상 분석이 완료되지 않는다면 뭔가 문제가 있긴 있는것 같습니다 ㅜ_ㅜ