소개
강의
전체1수강평
게시글
질문&답변
2024.09.26
실습시나리오3번 (건축계획서) 관련 질문입니다! /분석도구 버전추가
안녕하세요 SHA_256님! 답변이 조금 늦었습니다. 최대한 24시간 내에 답변 드리려고 노력하는데 거의 꽉 채우고 답변을 드리네요 오늘 도저히 시간을 낼수가 없어서 이제야 드리는 점 이해해주세요 ㅜ_ㅜ 결론부터 말씀드리면, 맞습니다!!! 실제로는 단순히 파일 용량이 동일하다는 점만 가지고 두개 파일의 동일성을 따지기엔 어려움이 있습니다. 가장 좋은것은 A, B, C, D, E ... 가 동일해서 동일한 파일이다라고 말할수 있는 근거가 확실할수록 좋겠죠. 다만 해당 시나리오에서 단순히 용량만을 언급한 이유는 처음 공부하는 단계에서는 과부하가 걸릴수 있기때문에 가장 기본적인것, 가장 단순한 부분부터 접근을 하자는 목적으로 메타 데이터 등 복잡해질수 있는 내용은 말씀을 드리지 않았습니다. 실제로는 당연히 여러각도에서 검증이 필요하겠지만, 적어도 2급 시험에서는 문제에 나온 해당 파일을 찾아내는것이 가장 중요한 메인이라고 한다면, 그에 대한 근거에 대해서 쓰는 것은 어떻게 보면 서브라고 볼 수도 있거든요. (물론 최소한의 근거도 없이 'A랑 B랑 같은 파일이다'라고만 쓰면 안되겠죠) 그런 의미에서 쉽게 찾으시라고 파일용량만 언급을 했을뿐 검증할수 있는 내용이 많으면 많을수록 동일하다는 판단에 더 힘을 실어주니 내용이 정확하다면 당연히 쓰실수 있습니다 !!
- 0
- 2
- 37
질문&답변
2024.09.25
안녕하세요 시나리오3 8번 문제 질문이 있습니다.
안녕하세요 jeb the sheep님! 답변이 조금 늦었습니다. 최대한 24시간 내에 답변 드리려고 노력하는데 거의 꽉 채우고 답변을 드리네요 오늘 도저히 시간을 낼수가 없어서 이제야 드리는 점 이해해주세요 ㅜ_ㅜ 시나리오 3, 문제 8번의 해당 볼륨의 총섹터수에 대해서 궁금하신거죠? 설명드리기에 앞서서, 볼륨과 파티션에 대한 정확한 이해가 조금 필요한데, 제가 강의에서도 몇 번 말씀드린적 있지만 보통은 파티션=볼륨 이런식으로 같은 느낌으로 혼용되어 사용되는게 현실입니다. 물론 둘의 차이가 있긴 하지만요. 이 두 가지 개념을 문장 한 두 줄로 딱 정의해서 설명을 드릴수 있으면 좋겠지만, 사실 처음에는 이해하기가 꽤 어려운 개념입니다. 그래서 제가 강의에서는 두 개념이 다르지만, 적어도 지금 시작하는 이 단계에서는 파티션=볼륨 그렇게 생각하고 접근하기로 약속하고 후에 조금 더 포렌식에 대해 조금씩 알아가신 후에 그 개념을 정확히 알아보실것을 권해드렸거든요. 우선 이 부분은 시간이 된다면 조금 어렵더라도 정확한 개념을 이해할수 있도록 관련 영상을 준비해보도록 하겠습니다. 질문주신 부분에 대해서 자세히 보면, 헷갈리시는 가장 큰 이유는 볼륨의 총 섹터수를 구하라, 파티션의 총 섹터수를 구하라 처럼 볼륨과 파티션이라는 말때문이지 않을까 싶습니다. 우선 볼륨과 파티션의 개념에 대해서 정확히 이해가 된 상태에서 제가 문제에 더 정확하게 질문을 했다면 헷갈리지 않으셨을것 같다는 생각이 들거든요. 앞서 말씀드린것처럼 우선은 '볼륨=파티션' 이렇게 생각하기로 가정을 하다보니 저도 그런 의미에서 '볼륨의 총 섹터수'라고 쓰다보니 헷갈리실수 있으실것 같아요. (사진) (사진) 위와 같이 [Partition 1] 을 클릭하면 나오는 Properties 내용과 [OS [NTFS]]를 클릭하면 나오는 Properties 내용을 보면서 설명드릴게요. 궁금하신 내용은 [총 섹터수]를 확인하는 방법인데, 질문주신 내용 중 총 클러스터 수 * (클러스터 당 용량 / 섹터 당 용량) 이 내용은 다시 정리하면 [총 클러스터의 수 X 클러스터당 섹터수] 이죠? 클러스터당 A개의 섹터가 있고, 총 클러스터의 수가 B개이니 둘을 곱하면 섹터수가 나온다라고 생각하시는게 맞습니다. 다만 그때 나오는 값이 어디의 섹터수인지는 차이가 있어요. 위 첫번째 스크린샷에서 시나리오3의 Partition1의 총 섹터수는 6,291,456 입니다. 그리고 말씀 하신 방법으로 계산해보면 (두번째 스크린샷) 총 클러스터의 수(Cluster Count) X { 클러스터의 크기(Cluster Size) / 섹터당 용량(Bytes per Sector) = 786,431 X ( 4,096 / 512 ) = 786,431 X 8 = 6,291,448 총 섹터수가 6,291,448 개라는 값이 나옵니다. 첫번째 스크린샷에서 확인한 Partition1의 Sector Count 는 6,291,456이고 OS[NTFS]의 클러스터의 수를 기준으로 계산한 섹터수는 6,291,448 으로 두 값의 차이는 Partition1의 Sector Count가 8개가 더 많죠 ? 다시 얘기하면 Partition1 안에 OS[NTFS]가 속해 있으므로 Partition 1이 6,291,456개의 섹터를 가졌고, 그중 6,291,448 개의 섹터가 OS[NTFS]에서 쓴다고 이해를 해주시면 될 것 같습니다. 참고로 질문주신 내용중 (786,431 + 456,456) * (4096 / 512) 786,431은 Cluster Count, 456은 Free Cluster Count 값인데 이 두 값을 더하시는게 아니라 Cluster Count 하나만 보셔야해요~ Free Cluster Count는 Cluster Count에 이미 포함되어있습니다 ! 마지막으로, 볼륨과 파티션에 대해서 정확히 개념이 잡히기 전까지는 디스크 또는 USB 등 기기의 전체 섹터수를 묻는것이 아닌 볼륨이든 파티션이든 한 부분에 대한 총섹터수를 묻는다면 위 첫번째 스크린샷의 Partition1을 클릭했을때 나오는 Sector Count를 의미한다고 생각하시고 접근을 해주시면 좋을것 같습니다. 볼륨과 파티션에 대한 내용은 최대한 빨리 준비해서 올릴수 있도록 노력하겠습니다 ㅜ_ㅜ
- 1
- 2
- 36
질문&답변
2024.07.18
공부 내용 노션 작성
안녕하세요 상우님! 공개된곳에 게시를 하신다면 아래에 기재한 내용을 복사하셔서 출처 표시만 해주신다면 게시하셔도 괜찮습니다! 다만 실습파일 및 교재등 수업자료로 올려드린 파일들의 공유는 불가하오니 이점만 지켜주시길 부탁드립니다. 적지않은 수강료를 지불하고 보시는 수강생분들에게 피해가 갈수 있기에 부탁드리는점 양해부탁드리겠습니다! 🙂 @출처 표기 [디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)] https://inf.run/SRMh
- 0
- 1
- 157
질문&답변
2024.07.02
22회 실기 관련 문의
안녕하세요 rang님! 말씀하신 부분은 정확하진 않지만 원인을 알 수 없는 에러로 추정이 됩니다. 이번시험에 그와 관련되어 문제가 있었다는 말씀을 해주신분이 또 계신데, 이게 정확히 어떤 상황일때 나오는 문제인지 조차 명확하지 않아서 조금은 테스트를 해보고 말씀을 드려야할것 같습니다.(물론 말씀하신 경우가 제가 생각하는 것과 전혀 다른 문제일 가능성도 있습니다) 관련된 내용은 시험 리뷰에서 종합적으로 말씀드리도록 하겠습니다!
- 0
- 5
- 433
질문&답변
2024.06.28
쓰기방지 문의
안녕하세요 toooooooo08님! 결론부터 말씀드리면, 문제가 안될 가능성이 더 높습니다. 시험장에서 가장 먼저, 또 자주 실수할 수 있는 부분이 쓰기방지를 안한 상태로 증거 USB 원본을 연결하는건데, 물론 이론적으로는 당연히 매우 위험한 일이고, 또 그 자체로로 시작하기도전에 무결성이 깨지는 참사를 가져올수있는 점은 맞습니다. 설령 무결성이 깨지지 않았더라도 전 과정을 녹화하다보니 그 자체로도 문제가 될수 있고요. 그렇기 때문에 반드시 지켜야하는 절차이긴 한데, 단순히 연결 자체만으로 무결성이 깨질 가능성은 조금 낮아보입니다. 물론 무결성이라는 말이 데이터의 변조가 일어났느냐와 함께 절차적인 부분도 포함이 되기때문에 엄밀히 말하면 문제가 있는거지만, 적어도 시험에서는 어떻게든 해볼 수는 있습니다 여기에서 가장 큰 변수가 있는데, '증거 사본을 생성하고 무결성을 입증하라' - 이런 문제의 경우 Hash값을 산출해서 보고서에 함께 제출을 해야하는데, 만약 무결성이 깨졌다면 hash값이 출제자가 알고 있는것과 다르게 산출이 되겠죠 이 경우는 어쩔수가 없이 문제가 됩니다. 하지만 위의 경우처럼 증거매체 자체에 대한 무결성을 입증하는 문제가 아니라면 단순히 USB를 연결한 자체로 그 안에 있는 모든 파일들이 변조되는것은 아니기때문에 설령 증거매체에 대한 무결성을 입증하지 못하더라도 다른 문제들은 진행을 할 수 가 있습니다. 실제로 제가 시험을 봤을때도, 저도 처음 시험이었고, 디지털 포렌식을 공부한지 얼마되지 않은 상태였기때문에 모든게 익숙하지 않던 상황이라서 시험이 시작하고 저도 모르게 자연스럽게(?) 쓰기방지 작업 전에 증거 USB를 연결했다가 아차 싶어 바로 USB를 뺀 후, 쓰기방지 후에 다시 연결한 경험이 있습니다. 오래전 일이라 그 당시 사본이미지 생성후에 무결성을 입증하라 라는 문제가 있었는지 기억이 조금 가물가물하지만(아마 그 당시에는 있었을것 같아요), 어쨌든 합격을 했습니다. (증거매체의 무결성 입증 문제가 있었다면 hash값이 다르게 나와서 감점을 당했는지, 아니면 hash값이 변하지 않아서 그대로 배점을 다 받았는지 알수는 없지만요) 그러니 혹시라도 시험장에서 증거 매체 원본을 이미징 해야하는 경우라면, 실수로 쓰기방지전에 연결을 했다고 하더라도 즉시 빼시고, 쓰기방지 단계를 거쳐서 다시 진행하시면 될것 같습니다. 이럴경우 처음부터 당황해서 흔들리기 쉬운데, 동요하지 마시고 차분히 진행해주세요! 설령 거기에서 문제가 생겨서 감점이 된다고 하더라도, 합격/불합격은 다 해봐야 아는거니 최대한 신경쓰지마시고 차분히 진행해주세요! (보고서에는 당연히 그런 실수까지 적을 필요는 없겠죠 :))
- 0
- 2
- 216