이미징 관련 기초적인 질문입니다..

안녕하세요 박준석님!질문 주신 부분이 시험을 처음 보시는 분들에게 정말 헷갈리는 부분 중 하나입니다!말씀해주신것처럼 최근 시험에서는 시나리오상 현장에서 수사관이 증거를 이미징해서 수사관이 소유하고 있던 USB나 외장하드 등의 저장장치에 저장하는 내용으로 많이 나오고 있습니다.이런 경우 '시나리오에서 수사관이 이미징을 해서 이미지 파일로 저장을 했다고 했으니' 별도의 이미징이 필요가 없습니다. 제공받은 USB에서 이미지 파일을 분석 노트북으로 복사해서 붙여넣기 하시고 추가 이미징 작업 없이 바로 분석을 진행하시면 됩니다.(이미 수사관이 이미지을 한 시나리오이기때문에)단, 시험시 제공 받은 USB가 증거원본인지 아니면 이미 이미징한 사본 파일을 담은 단순 저장용 USB인지는 시나리오를 정확히 보시고 판단을 하셔야합니다.예를 들어서 시나리오 상 현장에서 수사관이 USB를 하나 발견했는데(수사관의USB가 아닌 현장에서 발견된), 그 안의 파일이 .e01 파일 하나가 저장되어있을 경우 파일만 보면 이미징을 이미 했구나 착각할수 있거든요. 그런데 이 경우에는 증거원본이기때문에 쓰기방지>이미징을 해주셔야합니다. 시나리오를 꼼꼼하게 확인하시고 판단을 해주세요! 정리해드리면,1.증거 원본 USB인경우 - 쓰기방지 > FTK Imager로 이미징2.사본인 경우 -쓰기방지 > 이미징 불필요!(이미 사본이기때문에) -단, 사본이어도 e01 파일이었고, 파티션 복구가 필요한 경우에는 DD파일이 필요하므로 이 e01 이미지 파일을 원본으로 잡고 DD로 이미징을 해주셔야합니다. 이 이미지 원본/사본의 구분과 그에 따른 이미징 작업 필요 여부에 대해서는 많은 분들이 처음에 어려워하시는 부분입니다. 시나리오에서 같은 말도 어떻게 하느냐에 따라서 헷갈릴수 있는 부분이다보니 한 마디로 정리가 안되는 부분이기도 하고요.무엇보다 시나리오를 꼼꼼하게 보시고 상황판단을 해주셔야합니다!관련해서 얼마전에 올려드린 유튜브 라이브 특강(섹션 20)에서 조금 더 자세히 다루고 있으니 참고 부탁드릴게요~

파일 EOI 관련 질문

안녕하세요 ys_lab님!우선 용어 정리먼저 해드릴게요.1. 헤더 시그니처와 푸터 시그니처 특정 포맷의 파일임을 나타내는 '시그니처'가 파일의 시작과 끝에 있는것으로 각각 헤더 시그니처와 푸터 시그니처로 부릅니다. 이를 다르게 부르는 표현이 아래에서 보는 SOF와 EOF, SOI와 EOI가 있는데, 헤더/푸터 시그니처가 더 포괄적인 상위 개념이고, 그 아래 하부개념으로 파일의 형태에 따라 EOF 나 EOI등으로 부릅니다.2. SOF(Start Of File =BOF)와 EOF(End Of File) 파일의 시작부분과 끝에서 볼수 있는 시그니처로 위에서 말한 헤더시그니처와 푸터 시그니처와동일한 의미입니다.일반적으로 이미지가 아닌 파일의 헤더 시그니처는 BOF(Beginning Of File)로 더 많이 부르는데이는 JPG의 구조에 SOF(Start OF Frame) 라는 구조가 있어서 혼돈을 피하기 위해서 그렇습니다.3. SOI(Start Of Image)와 EOI(End Of Image)이미지 파일에서 사용되며, JPG를 예로 들면 JPG 파일은 FF D8로 시작해서 FF D9로 끝이난다고 볼수 있죠?우선 용어 정리먼저 해드렸습니다.그렇다면 우리가 아는 이러한 헤더 / 푸터 시그니처는 파일의 시작과 끝을 알려준다고 알고 있는데,기본적으로 헤더시그니처(예: FF D8)로 시작해서, 푸터시그니처(예 : FF D9)로 파일이 끝나는게 기본이고, 그 뒤에 다른 데이터가 있다면 그 데이터는 FF D9로 끝난 JPG 파일이 아닌 다른 파일로 보는게 맞긴합니다.그런데 이러한 기본만으로는 이해가 안되는 상황들이 조금 있습니다.(이부분은 조금 더 들어가는 부분이어서 일부러 설명을 안했거든요. 더 복잡해질수가 있어서)1. Zip파일의 구조를 가진 파일들 - 예시로 들어주신 .zip 파일의 경우에는 이 EOF라는 개념이 살짝 다릅니다. (.zip 파일의 구조를 갖는 .pptx, .docx, .xlsx, .hwpx도 동일합니다) .zip 파일의 구조를 보면 파일의 마지막 끝부분에 EOCD(End Of Central Directroy)라는 블록이 존재하게 되는데, 이 곳에는 압축파일안에 들어있는(압축되어진) 파일들의 정보를 담는 공간이 있습니다.이걸 EOCD라고 부르고, 일종의 목록 같은거라 생각해주세요. 마치 MBR 파티션 테이블에서 각각의 파티션의 기본적인 정보를 16바이트에 담고 있고, 누군가 접근을 할때 해당 파티션의 정보를 보고 알려주는 역할을 하듯이 .zip 에서는 압축되어진 파일의 정보를 EOCD에 담아두고 누가 물어보면 이걸 보고 우선 확인하는 목차같은 역할을 합니다.이 EOCD는 .zip 파일의 마지막에 존재하게 되고 제가 그동안 파일의 끝이다(=푸터 시그니처=EOF)라고만 간단히 설명드린 50 4b 05 06 이, 사실은 파일의 끝이 아니라 파일의 끝에 있는 EOCD의 시작부분입니다. (사진)위 스샷이 말씀하신 25회시험 리뷰 다섯번째 영상의 해당 부분의 스샷입니다.보시면 50 4B 05 06 이후에 18바이트가 추가가 되어있죠 ?50 4b 05 06 까지 포함하면 총 22바이트인데, 이 부분이 EOCD입니다.이렇게 EOCD는 최소 22바이트 이상(시그니처(50 4b 05 06) 4바이트 + 메타데이터 18바이트)로 구성이 되는데, 위의 예시파일에서는 최소인 22바이트로 구성이 되어있는것을 알수 있습니다.그래서 정확히 얘기하자면 50 4b 05 06 의 시그니처 이후 18바이트를 모두 포함을 해야합니다. (만약 저상태에서 50 4b 05 06까지만 잘라내서 새로운 파일로 저장을 하면 에러가 나겠죠)그래서 질문주신 내용에 대한 답변을 드리면, 위 스샷에서 EOF 로 알고 있던 50 4b 05 06이후 데이터는 필요없는게 아니고 필요한 데이터이며, 마찬가지로 헤더 시그니처 역시 처음이 아니라 앞에 다른 데이터가 조금 있어도 되는 그런건 아닙니다.정확히 파일의 헤더와 푸터 시그니처로 시작되고 마무리가 되어야합니다! 2.JPG 파일의 FF D9 뒤에 데이터가 추가로 있는 경우(사진)위 스샷은 실습시나리오 5번에서 다뤘던 증거인 photo.zip 이라는 파일입니다.이 파일은 이미지 5개를 photo.zip으로 압축한뒤 jpg 파일을 추가로 은닉시킨(스테가노그래피) 파일인데, 상단의 50 4b 05 06 ~ 2D 01 00 00(총 22바이트)의 압축파일이 끝나는 EOCD를 볼수 있습니다. 정확히 그곳까지가 이 .zip 파일인데, 그 뒤에 FF D8로 시작되는 jpg의 헤더 시그니처가 보이시죠? 우리가 그동안 이해한대로라면 50 4B 05 06뒤에 바로 FF D8이 와야할것 같은데, 정확히는 EOCD 22바이트가 있고, 그게 끝나자 마자 바로 새로운 JPG가 시작하는 경우입니다.이 부분은 이제 이해가 되실거예요.그런데 저 파일에서 FF D8로 시작하는 은닉한 JPG 파일이 하나 있는데, 이 파일의 끝을 보면 또 이해가 안되는 부분이 있어요.(사진).zip 파일의 경우 EOCD가 최소 22바이트이니 이해가 되는데, JPG의 경우는 무조건 FF D8로 시작해서 FF D9로 끝나야하는데 추가로 데이터가 있으니 혼란스럽죠.위의 경우에는 FF D9로 끝나는게 맞습니다. 그런데, 뒤의 데이터 문자열을 보면 뭔가 사진의 정보처럼 보이는 느낌이 들죠? Image_UTC Data1775036378071 = 사진 촬영 시간Camera_Scene_info2 , Color Display_P3, Photo_HDR_Info 사진의 추가정보를 담은 부분으로 보이는데 이러한 부분은 원래 없어야하는 부분이 맞습니다. 이 부분은 SEF로 불리는 메타데이터인데, SEF는 Samsung Extension Format의 약자로삼성 스마트폰으로 촬영한 사진의 경우 사진 촬영시 여러 정보(심도, 듀얼 카메라 픽셀정보, 모션포토)등의 정보를 기록한 부분입니다. 갤럭시로 촬영시 모션포토라고 해서 한장의 사진이지만 gif처럼 보이는 사진모드들도 있고, 여러 모드가 있는데 그런 추가적인 정보를 담아야하는데 기존 jpg 구조상 담기가 조금 애매해서 삼성에서 추가로 붙인 내용이라 생각하시면 좋을것 같습니다.이런 추가 데이터를 붙이는 방법은 스마트폰 제조사마다 약간 차이가 있는데,삼성의 경우 기존 jpg 구조를 건드리지 않기 위해서 밖으로 빼서 저장했고,애플의 경우는 기존 jpg 구조 안에 집어넣는(FF D8 과 FF D9 안에) 형태와 별도의 포맷으로 따로 만든 경우 등 차이가 있습니다.참고로 위에서 보여드린 갤럭시로 촬영한 사진 파일에서 FF D9 이후 데이터를 삭제해도 사진 자체는 동일하게 정상적으로 보입니다. 말그대로 추가 데이터이다보니까요. 이런 부분들은 파일의 구조를 이해하는것에도 어려움을 더하겠지만, 무엇보다 스테가노그래피 분석시에 정말 어렵게 만드는 부분이긴합니다.우리가 공부하는 디포 입문 수준보다는 조금 더 깊은 부분이다보니, 오히려 혼란이 더 커질수가 있어서 설명을 안드렸고 이 부분은 지금은 그냥 보고 넘어가시는 걸 권장합니다.다만 실제 시험에서 스테가노그래피 분석을 할경우,우리가 알고 있는 헤더/푸터 시그니처만 생각해서 그 부분만을 추출해서 새로운 파일로 저장하시면 큰 문제 없이 해결이 되므로 우선은 관련 부분을 찾고, 잘라내서 새로운 파일로 만들어저장해서 확인해주시고 위의 내용은 참고로만 봐주세요~

특강 관련 문의

안녕하세요 maizard님!4.11 특강은 아무래도 유튜브 등에서 라이브로 진행되다보니 라이브 이후에는 시청이 불가능할 예정입니다.다만 모의고사가 개별적으로 진행되다보니 그에 대한 풀이 영상은 그 이후에(다음주 중 예정) [실습 시나리오5] 강의에 등록될 예정이며,궁금해 하시는 4.11 특강 라이브 영상은 그대로 녹화해서 업로드를 할지에 대해서는 조금 고민을 하고 있습니다. 개인적으로 유튜브 등의 플랫폼에서 라이브 경험이 처음이다보니 녹화를 하려해도 실수하는 부분이 발생할수도 있고, 또 유튜브의 화면을 그대로 등록하는것에 대해서 조금 고민을 해봐야해서(채팅창 대화 내용이나 기타 여러가지) 이 부분은 판단후에 결정을 해야할것 같습니다.가장 좋은 방법은 라이브에서 다뤘던 내용을 따로 촬영해서 올리는게 가장 깔끔하긴 한데, 이것도 꽤 시간과 노력이 필요한 부분이다보니 쉽게 결정하기가 어려운점 양해부탁드리겠습니다 ㅜ_ㅜ감사합니다~

59강 실습 파일 문의

안녕하세요 인프롱님!해당 영상의 첨부파일을 다운로드 받아서 확인해봤는데 정상적으로 열리는 점을 확인했습니다(사진) 이렇게 나와야 정상인데, 파일을 hxd로 열었을때 이와 동일하게 나오시는지 궁금합니다. 그리고 만약 위의 스샷과 동일하게 열린다면, 검색시에 어떤 순서로 검색을 하셨는지 말씀해주실수 있을까요?그 말씀을 들어야 제가 도움을 드릴수 있을것 같습니다~답변 부탁드릴게요~

현장 강의나 스터디 운영 요청드립니다.

안녕하세요 윤호진님!말씀에서 고민의 깊이가 느껴지는 글을 써주신것 같아요.결론부터 말씀을 드리면, 정말 죄송하게도 현재 오프라인 강의나 스터디그룹 운영에 대한 계획은 없습니다.이게 여러가지로 어려움이 있는데,강의 영상이나 공지등을 통해서 몇번 언급한적이 있지만, 현재 제가 하는 일은 디지털 포렌식과는 전혀 관련이 없는 일을 하고 있다보니 시간을 내기가 어려운 면이 제일 크기도 하고디지털 포렌식 시험 준비라는게 오프라인 강의 한 두번으로 해결될수 있는 성격도 아니기도 하고 그렇게 진행을 한다고 하더라도 정말 겉햝기 식으로 밖에 될수가 없다보니 그 오프라인 강의에 참석하기 위해서 시간을 들여 참석해주신 분들에게도 큰 도움이 되지 않을거라는 생각때문입니다.또한 그렇게 어렵게 참석해주신 분들에게 그에 걸맞게 값어치 있는 시간이 되실수 있도록 준비를 해야할텐데 그런 준비시간을 내기에는 저로서도 어려움이 있거든요 ㅜ_ㅜ(그리고 제가 오프라인 강의를 할 정도의 실력이 안되는게 가장 큰 이유일겁니다 ㅎㅎ)스터디 그룹도 비슷한 이유로 제가 주관해서 진행하기에는 어려움이 있는게 사실입니다. 말씀의 의도는 이해되고 또 많이 공감이 되지만, 개인적으로 어려움이 너무 많기에 원하시는 답을 드리지 못해서 죄송하다는 말씀을 드립니다.다만 , 스터디 그룹의 경우 원하시는 분들을 연결해 드리는데 도움을 드릴수는 있을것 같습니다.그 방법에 대해서 따로 생각해본적은 없는데, 지금 단순하게 드는 생각들을 말씀을 드리면이 시험의 특성상 자주 만나서 진행을 해야하고, 그러다보면 같은 권역에 사시는 분들끼리 진행을 하시는게 현실적일거라 생각됩니다.그런데 거주하시는 지역에서 스터디를 희망하는 다른 분이 계신지를 알수가 없으니 시작이 어려울거라 생각이 되어서, 공지사항 등을 통해서 스터디 참여 희망하시는 분들이 어느정도인지 확인을 하고, 같은 권역(또는 원하시는 권역으로)의 희망자분들을 연결해드리는 일은 제가 어느정도는 도움을 드릴수 있을것 같습니다.물론 스터디그룹을 위한 별도의 게시판이 없는 상황이다보니 스터디를 만드시려는 분들이이 곳 질문 게시판등을 이용해서 모집을 하실수도 있겠지만, 혹시라도 개인정보가 직접적으로 노출되는 점이 걱정되시거나, 직접적으로 추진하기에는 부담이신 분들도 계실수 있을텐데스터디를 희망하지만 그런 이유로 망설여지시는 분들이 조금이라도 부담을 덜 수 있게 저에게 스터디 참여 희망 여부를 알려주시면 매칭을 해드리는 일은 도와드릴수 있을것 같습니다.저도 지금 떠오르는 생각들을 정리없이 말씀드리는거라서 어떻게 하면 제일 좋을지에 대해서는 의견도 듣고, 더 고민을 해보긴해야겠지만 어쨌든 이런 형태의 도움을 조금이라도 드릴수 있을것 같으니 며칠내로 공지등의 방법으로 관련 내용에 대해서 의견수렴을 하는 시간을 갖도록 하겠습니다! 수강생 여러분들의 합격을 위해서 다양한 방법으로 지원을 해드리고 싶은 마음은 정말 크지만,제 개인적인 여러 상황들때문에 현실적인 제약이 많아서 죄송한 마음 뿐입니다. 며칠내로 관련된 내용 공지로 올리도록 하겠습니다!

백업 파일 관련

안녕하세요 ys_lab님!네. 맞습니다. 말씀하신것처럼일반적으로 파일이 새로 저장이 되고 백업파일이 생성되는 경우에는 기존 파일명은 그대로 유지하고 확장자가 .bak 이라는 형태로 변하는 편입니다.영상에서도 말씀드렸듯이, 지난 25회 시험에서 어떤 형태로 은닉을 했는지 등에 대한 자세한 정보가 확인이 되지 않기때문에 이런 방법으로 은닉했지 않을까 하는 어디까지나 제 개인적인 추측을 반영한 내용이었습니다. 이해하신것처럼 수정 후 저장을 했고, 그래서 수정전 기존 파일은 .bak으로 저장이 됐지만, 이를 은닉하기 위해서 파일명도 고의로 수정을 한 형태입니다. 이렇게 파일명도 변경을 하고, 저장 위치도 기존과 다른 곳으로 옮기는 경우에는 쉽게 찾을수가 없게 되는데, 이럴 경우에는 NTFS LOG 분석을 통해서 파일명의 변경과 파일의 이동을 확인하는 방법이 있고, 파일용량이 동일하다는 가정하에 검색해서 나오는 파일들을 확인해보는 방법이 있습니다.다만 파일 용량의 경우에는 수정 전 파일인 bak 파일과 수정 후의 파일의 용량이 다를수가 있습니다.연습문제에서는 바이트 단위로 일부만을 다른 값으로 채워넣는 방법으로 변경을 했기때문에 용량이 같을수는 있지만, 만약에 특정 부분을 아예 잘라내는 형식으로 삭제를 한 경우에는 용량의 차이가 있을수 있기때문에 이부분도 참고해서 봐주세요~

GPT의 Protective MBR 관련하여 여쭤봅니다!

안녕하세요 k.y.j.06님!죄송하다는 말씀을 먼저 드립니다!해당 강의영상 업로드 후에 말씀하신 부분에 대해서 추가로 설명해드려야할 부분이 있는것을 인지하고 수정을 해야겠다고 생각했었는데 깜빡하고 지금까지 수정을 못했습니다 ㅜ_ㅜ말씀하신대로 'Size in Sector'를 알수 있는 마지막 4bytes는, 총 섹터수를 의미하게 되는데GPT 파티션에서는 약간 다릅니다.영상에서는 FF FF FF FF 로 고정이 된다고 말씀을 드렸는데,이 부분은 해당 디스크의 용량에 따라 차이가 있습니다. 디스크의 용량이 2TB 이상인 경우에는 FF FF FF FF 로 고정이 되고디스크의 용량이 2TB 미만인 경우에는 디스크의 총 섹터수 로 기록이 됩니다k.y.j.06 님이 말씀하신 예시의 경우처럼 약 953GB의 디스크라면 2TB 미만이므로실제 총 섹터수가 나오는게 맞습니다 ! 혼란을 드려서 정말 죄송하다는 말씀을 드리며, 해당 영상은 빠른 시일내에 수정하도록 하겠습니다.잘못된 부분 말씀해주셔서 감사합니다 !

섹션 8. 디지털포렌식툴 - autopsy 사용법 듣고 있습니다

안녕하세요 limitpig님![섹션8. 디지털 포렌식툴 사용법] - [Autopsy]Autopsy2 강의를 보고 말씀해주시는게 맞을까요?[Autopsy]Autopsy1 , [Autopsy]Autopsy2 강의영상에서 실습자료로 사용한 파일은[Autopsy]Autopsy1에 함께 올려드린 forensictool.e01 파일이 맞습니다. 혹시 보셨던 화면이 해당 영상의 0:2:48경에 나오는 화면의 pt 자료상의 'encase_partition_break'를 말씀하시는걸까요?해당 PT에서 사용한 스크린샷은 어디까지나 pt상에서 설명을 위해서 가져온 다른 이미지 분석과정중캡쳐한 화면으로 해당 강의에서 실습하는 내용은 올려드린 파일을 이용해서 실습을 해주시고말씀하신 그 화면은 어디까지나 참고로만 봐주시면 될것 같습니다 !

이미징 방법(기초)

안녕하세요 bug5003님!1. 제공되는 전자정보 형태- 시험장에서 제공하는 사건의 증거는 2가지로 나눠볼수 있습니다.1) 증거 USB 원본을 제공하는 경우- 시나리오상 수사관이 사건 현장에서 USB를 발견했고, 그렇게 수집한 USB를 제공하는경우로 가정예) A경찰청 사이버범죄수사대 소속 B 경위는 현장의 책상 서랍에서 USB 1개를 발견해서 수집했다- 이 경우 제공된 USB는 증거 원본이므로 사본을 만들어서 분석을 진행해야하는데쓰기방지가 설정된 상태에서 USB를 연결하고 이미징을 진행해서 사본 이미지를 생성해야합니다.- 과거에는 시나리오상 이렇게 원본을 발견하고 그 USB를 수험자에게 제공하는 형태로시험이 진행됐었으나, 최근에는 이렇게 원본이 아닌 사본을 제공하는 형태로 바꼈습니다.2) 사본을 제공하는 경우- 시나리오상 수사관이 사건 현장에서 PC,노트북,USB등을 발견하고 해당 부분에 대해서 이미징의방식으로 수집을 했는데, 그렇게 생성한 이미지 파일은 사본이고, 그 사본 파일이 담긴 USB를제공하는 경우.예) A 경찰청 사이버범죄수사대 B경위는 현장에서 노트북을 발견하고 (중략) 이미징하여 수사관의USB에 저장하였다. >> 원본이 아닌 사본 이미지 파일!- 이렇게 사본이미지 파일이 저장된 USB를 수험자에게 제공하며, 이는 사본이기때문에별도의 쓰기방지나 추가 이미징 작업이 필요없기때문에 USB를 연결후 해당 이미지 파일을 복사해서 분석용 노트북에 저장!- 최근에는 위와 같은 방법으로 증거 파일을 제공하고 있습니다. 다시 말해서 쓰기방지 및 이미징 과정이 생략이 되겠죠!- 이러한 증거파일의 제공 방법은 언제든지 변경이 될 수 있으므로 반드시 시나리오를 꼼꼼히 읽으셔서 증거원본 USB를 제공하는지, 아니면 이미징한 사본을 제공하는지를 파악하셔서 그에 맞게 진행을 해주세요~2. 증거 USB 원본이 제공된 경우 진행과정-시나리오상 증거 USB 원본을 제공한것으로 된 경우에는 아래 절차를 꼭 지켜주세요1) 쓰기방지 설정 : Encase Fastbloc SE 또는 레지스트리 설정으로 쓰기방지 설정2) USB 연결3) FTK Imager 등의 이미징 프로그램으로 이미징- FTK Imager의 경우 이미징 하기 > Physical > 해당 USB 선택 > 이미징 > hash 값 확인- 최초 이미징한 파일은 우선 보관을 해주세요 > 문제나 시험관련 지시사항에 이미징한 파일을 제출하라고 한 경우 : 최초 이미징한 e01파일을 제출> 이미지 파일 제출에 대한 별도의 언급이 없다면 제출 안하셔도 됩니다.(답안제출용 USB의 용량이 이미지 파일을 담기에는 작거나, 빠듯할수 있습니다~)> 만약 파티션 복구 등이 필요한 경우 최초 이미징한 파일을 복사해서 이미징 파일의 사본으로파티션 복구 및 분석을 진행 해주세요. 3. 파티션 복구1) 이미징한 파일을 FTK Imager등으로 불러와서 확인- 말씀하신것처럼 FTK Imager등으로 불러와서 확인했을때 볼륨에 정상 접근이 되는지 확인하고만약 Unrecognized 등으로 표시가 된다면 파티션 복구가 필요합니다.2) DD파일로 재이미징- 최초 이미징시 E01으로 이미징 하셨다면, 파티션 복구시에는 반드시 DD(raw)파일이 필요하므로다시 이미징을 해줘야합니다.- DD 이미징시에 두가지 방법이 있는데① 원본 USB를 연결해서 DD로 이미징- 처음 이미징할때와 동일하게 쓰기방지설정 > FTK Imager > physical > 이미징포맷을 DD로② E01 이미지 파일이 있는 경우 - FTK Imager > Image file(Physical이 아닌 이미지 파일을 원본 소스로 선택) > 이미징 포맷을 DD로※ 질문에 말씀하신 로지컬-DD파일 의 순서가 아닙니다! E01을 원본 소스로 재이미징하실때는 로지컬이 아닌 Image File을 선택해주세요 !3) Hxd로 파티션 복구- 재이미징하여 저장된 dd 파일을 hxd로 불러와서 복구진행! 4. 기타 질문에 대한 답변1) e01 파일을 첨부터 주는경우는 따로 별도로 위에 처럼 피지컬로 새로 이미징 할 필요없이바로 FTK Imager 열어서 확인하면 되는건가요? 시작할때 쓰기방지 작업은 필요없는지?> 네 맞습니다! 시나리오상 사본 이미지 파일을 제공하는 경우라면,제공된 USB에서 이미지 파일을 분석용 노트북에 복사해서 가져오시면 되며,쓰기방지, 이미징의 작업이 생략된다고 생각해주세요.5. 정리1) 시나리오 확인 - 시나리오상 증거 USB 원본을 주는지, 아니면 사본 이미지 파일을 주는지 확인2) 증거 USB 원본을 제공하는 경우① 쓰기방지설정② USB 연결③ 이미징- FTK Imager 실행 > 이미지 생성(Create Image) > 원본소스선택(Physical)>이미지 포맷선택(E01) > 이미징 진행 > 해시값 확인④ 생성한 이미지의 확인(파티션 복구여부)- FTK Imager로 방금 생성한 이미지 파일 불러온 뒤, 모든 볼륨이 정상적으로 접근이 가능한지 확인- Unrecognized 등 접근 불가한 볼륨이 있는 경우 파티션 복구 필요⑤ 파티션 복구를 위한 재이미징(파티션 복구가 필요없는 경우 생략)- FTK Imager 실행 > 이미지 생성 > 원본소스선택(Image file / 이미 생성한 e01을 원본으로 ~)>이미지 포맷선택(DD) > 이미징 진행 > 해시값 확인 X※ 우리에게 중요한 hash값은 최초 이미징한 e01파일의 해시값입니다! 재이미징한 파일의 해시값은신경안쓰셔도 됩니다!⑥ 생성한 dd 이미지파일을 hxd로 불러와서 파티션 복구 진행⑦ 복구가 정상적으로 완료됐는지 FTK Imager에서 확인⑧ 파티션이 복구됐다면 이미지 파일을 autopsy등으로 분석 시작 3) 사본 이미지파일을 제공하는 경우- 증거원본을 제공하는 경우의 ①~③ 생략 / 이후 단계 동일.④ 제공된 USB 연결 > 이미지 파일 복사해서 분석용 노트북에 붙여넣기⑤ 생성한 이미지의 확인(파티션 복구여부)- FTK Imager로 방금 생성한 이미지 파일 불러온 뒤, 모든 볼륨이 정상적으로 접근이 가능한지 확인- Unrecognized 등 접근 불가한 볼륨이 있는 경우 파티션 복구 필요⑥ 파티션 복구를 위한 재이미징(파티션 복구가 필요없는 경우 생략)- FTK Imager 실행 > 이미지 생성 > 원본소스선택(Image file / 이미 생성한 e01을 원본으로 ~)>이미지 포맷선택(DD) > 이미징 진행 > 해시값 확인 X※ 우리에게 중요한 hash값은 최초 이미징한 e01파일의 해시값입니다! 재이미징한 파일의 해시값은신경안쓰셔도 됩니다!⑦ 생성한 dd 이미지파일을 hxd로 불러와서 파티션 복구 진행⑧ 복구가 정상적으로 완료됐는지 FTK Imager에서 확인⑨ 파티션이 복구됐다면 이미지 파일을 autopsy등으로 분석 시작

보고서 작성 관련 질문 드립니다.

안녕하세요 sinbon님~!답안작성시에 각 문제별로 보고서 파일을 따로 저장하는 방법과 보고서는 하나의 파일로 작성하는 방법이 있습니다.다만 궁금하신점에 대한 정답은 따로 있지는 않습니다만 별다른 문제가 없다면 보고서는 1개의 파일로 만드셔도 무방할것 같습니다.예를 들어서 보고서.hwp 라는 파일을 만든후에 그 안에 1번 문제 : ~2번 문제 : ~3번 문제 : ~이런식으로 이어서 작성하시면 될것 같습니다. 앞에서 정답은 없다고 말씀드린 이유는 과거에 보고서 파일을 문제별로 각각 만들어서 제출하라는 경우도 있었고, 반대로 하나의 파일로 만들어서 제출하라는 경우도 있었으며, 그 외에는 보고서 파일 제출방법에 대해서 언급하지 않았던 적도 많기때문에 정답이 따로 있진 않습니다. 그렇기 때문에 시험 유의사항 등의 지침에 따라서 별도의 언급이 있다면 그에 맞춰서 해주시고그렇지 않다면 일반적인 경우로 생각하고 1개의 보고서 파일에 여러 문제들을 한 번에 정리하시면 될 것 같습니다 !