보고서 작성 관련 질문 드립니다.

안녕하세요 sinbon님~!답안작성시에 각 문제별로 보고서 파일을 따로 저장하는 방법과 보고서는 하나의 파일로 작성하는 방법이 있습니다.다만 궁금하신점에 대한 정답은 따로 있지는 않습니다만 별다른 문제가 없다면 보고서는 1개의 파일로 만드셔도 무방할것 같습니다.예를 들어서 보고서.hwp 라는 파일을 만든후에 그 안에 1번 문제 : ~2번 문제 : ~3번 문제 : ~이런식으로 이어서 작성하시면 될것 같습니다. 앞에서 정답은 없다고 말씀드린 이유는 과거에 보고서 파일을 문제별로 각각 만들어서 제출하라는 경우도 있었고, 반대로 하나의 파일로 만들어서 제출하라는 경우도 있었으며, 그 외에는 보고서 파일 제출방법에 대해서 언급하지 않았던 적도 많기때문에 정답이 따로 있진 않습니다. 그렇기 때문에 시험 유의사항 등의 지침에 따라서 별도의 언급이 있다면 그에 맞춰서 해주시고그렇지 않다면 일반적인 경우로 생각하고 1개의 보고서 파일에 여러 문제들을 한 번에 정리하시면 될 것 같습니다 !

Autopsy관련 질문입니다.

안녕하세요 mire95s님!Autopsy에서 분석을 추가로 진행하려고 하시는 경우 아래 순서대로 진행해주세요.1) 메뉴의 [Tools]-[Run Ingest Modules]-[이미지파일명 예)forensictool.e01] 클릭(사진)2) 팝업된 Run Ingest Modules 창에서 추가로 분석하고자 하는 모듈 선택아래 스샷에서 삼각형으로 노란색 느낌표 이미지는 이미 분석이 완료된 모듈입니다.추가로 분석하고자하는 모듈만 선택한 뒤 우측 하단의 Finish 버튼을 클릭해주시면 추가 분석이 진행이 됩니다 ~(사진)

시험 관련 질문

안녕하세요 liku님!순서대로 답변 드릴게요~ 1. 제공되는 프로그램의 설치 시험 도구들로 제공되는 프로그램의 설치 파일은 편하신곳에 저장하시고, 설치도 설치시 기본으로 잡혀있는 루트에 설치하셔도 괜찮습니다. 참고로 최근 시험에서는, 제공되는 노트북의 저장공간이 SSD 단일 볼륨으로 제공되는것으로 확인되고 있어서( 볼륨이 C: 1개만 있는것으로 확인되고 있습니다) 사실상 선택의 여지가 없긴 합니다 2. 보고서, 증거파일의 저장 해당 강의 영상에서 말씀드린 내용은 과거에 윈도우즈 오류 등으로 리부팅을 해야하는 경우 간혹 노트북의 관리를 위해서 자동복구가 설정되어있는경우 C:에 저장된 모든 것들이 복구시점으로 롤백되는 가능성이 있을 수 있기때문에 안내를 드렸습니다 다만 위에서 말씀드렸듯이 최근에는 단일 볼륨으로 제공이 되기때문에 증거파일들을 저장할 다른 볼륨이 존재하지 않아서 이 역시 선택의 여지 없이 c:에 편하신곳(바탕화면 등)에 보고서 및 추출파일을 저장하셨다가 마지막 제출시에 복사해서 usb에 담으시면 될 것 같습니다 3. 해시값 특정 파일의 해시값을 기재하실때는 MD5와 SHA1 등 산출된 여러 Hash 중 하나를 선택하셔서 기재하시면 됩니다! 다만 해당 문제나, 전체 지침에서 특정 Hash로 기재하라고 되어있는 경우에만 그에 따라서 써주시면 되고, 그런 경우를 제외하면 편하신대로 선택하시면 되며 보고서 작성시 되도록 한번 사용했던 hash로 (처음에 Sha1을 사용하셨다면 계속 Sha1 값으로 통일) 통일해서 작성해주시는것을 권해드립니다. MD5와 Sha1를 번갈아 가며 사용해도 문제가 있는건 아니고 단지 통일성때문에 권해드릴뿐입니다 :)

24회 시험 chatgpt의 설치 삭제 시간 관련 질문 있습니다

안녕하세요 KMS님!순서대로 답변 드릴게요~1. 24회 시험에서 이미지 생성에 사용된 AI 프로그램 확인- 리뷰영상에서 말씀드렸듯이 확인된 내용은 Chatgpt와 Perplexity의 흔적입니다.그외에 생성된 이미지에 대한 정확한 정보나, 기타 설치됐던 ai생성 서비스의 정보가 확인이 안된상태이다보니어디까지나 추정을 통해서 Chatgpt라고 가정을 한 경우라고 생각해주세요.그렇게 추정한 이유는 아무래도 퍼플렉시티보다는 chatgpt의 흔적이 조금 더 남아있는 것으로 보여지고, 시험이라는 특성상 수험자에게 조금이라도 힌트를 주려는 의도도 있지 않을까 하는 생각에 퍼플렉시티보다는 상대적으로 더 알려져있는 Chatgpt일 가능성을 높게 보고 가정한 경우입니다!-참고로 생성된 이미지 파일을 hxd로 열어봤을때 문자열에 흔적이 남아있을 가능성도 있습니다.24회시험에서는 생성된 이미지 파일에 대한 정보가 전무하여 제가 확인을 할수는 없었으나,다만 제가 가능성이라고 말씀을 드리는이유는, 어떤 경우에 어떤 흔적이 남는지 아직 확실히 정리되지 않아서 어디까지나 참고수준으로만 보시는것을 권해드리는데, 예를 들면 아래와 같습니다.1) ChatGPT로 생성한 이미지 파일(사진)2) google nano banana로 생성한 이미지 파일(사진) 위의 스샷에서 보시는것처럼, 생성툴에 대한 정보를 확인할 수 있는 경우가 있으니 참고만해주세요. 2. 프로그램의 설치시간 등의 정보 확인시 우선순위- 이부분은 여러 변수가 많아서 단정적으로 말씀드리기는 어렵습니다만정말 시간이 부족한 경우에는 이벤트 로그나 NTFS LOG를 추출해서 의심이 가는 키워드로(예:chatgpt) 검색해서 확인하시고 그 내용만이라도 써주세요. 레지스트리는 하나하나 찾아가는것도 쉽지 않고, 무엇보다 프로그램에 따라서, 삭제전후상황에 따라서 레지스트리 기록 위치와, 기록이 남아있는지 등이 달라지기때문에 하나만 봐야한다면 레지스트리 보다는 이벤트 로그나 NTFS 로그를 검색해서 보시는것을 추천드립니다. 3. 말씀하신 상황별 시간 확인 방법은 대체적으로 맞습니다.다만 위 2. 질문 해주신것처럼 교차검증을 하기에는 시간이 부족하다고 생각되시는 경우에는설치/삭제 - 이벤트 로그 하나만 키워드로 검색해서 확인마지막 실행시간 - 프리패치정도로 하나만 확인하시는게 좋을것 같아요.4. 레지스트리, 이벤트 로그 확인 방법- 현실적으로... 이부분은 자꾸 해보시는방법밖에 없을것 같아요. 레지스트리의 경우 해당 키의 위치를 결국에는 외우는 수밖에 없는데 이렇게 하기가 너무 어려운경우이벤트 로그나 ntfs log 에서도 확인이 되는경우라면 그 방법으로라도 확인을 해주세요.특히 이벤트 로그는 주요 이벤트 ID의 의미를 알고 계시다면 찾는게 훨씬 쉬워집니다.다만 그렇게 하지 못하는 경우라도 해당 프로그램의 정보(예:실행파일명 등)를 바탕을 검색을 해보시면그렇게 어렵지 않게 확인이 되시지 않을까 싶습니다. 5. FAT#1 복구 관련 문제가 나오지 않는 이유- 이부분은 결국에는 출제자의 의도와 관련된 부분이다보니 제가 말씀드리기가 어렵습니다.다만 2급 시험이라는 점을 생각해봤을때, VBR복구가 FAT#1복구보다는 더 기본이기때문에그런게 아닐까 하는 추측만 할뿐이며, 시험이 회차를 거듭할수록 조금씩 깊게 들어간다는 점을생각해봤을때 언젠가는 그런 문제가 출제될 가능성도 완전히 배제하지는 못할것 같습니다.6. 판례 강의관련- 제가 올려드리는 판례 관련 영상은, 말씀해주신 학회에서 발간한 실기 교재에 나온 판례와 디지털 포렌식 중요판례 등을 다룬 다른 서적 등을 전반적으로 고려해서 케이스별로, 중요도별로 제 나름의 우선순위를 정해서 올려드리고 있습니다.

IP에 대해서 궁금한 점이 있습니다.

안녕하세요 now-06님!결론부터 말씀드리면, 1) 레지스트리 및 ipconfig등으로 확인한 IP주소 : 사설IP로 내부적으로만 사용되는 IP 주소2) 네이버의 '내 ip찾기', 토렌트 프로그램에서 확인한 IP : 공인IP로 외부에서 접속가능한 공식적인 IP주소입니다.네이버등에서 확인한 ip가 실제적으로 외부에서 나에게 접속가능한 실제 IP라고 생각하시면 되며,사설ip는 내부적으로만 사용가능한 ip라고 생각해주세요. 예를 들어서 인터넷을 이용하기 위해서는 인터넷 서비스 제공업체(SKB,KT,LGU+등)에 가입을 해야하죠? 일반적인 가정집의 경우 1회선을 제공을 받습니다.(물론 필요에 따라서 회선을 추가할수는 있겠죠)1회선이라는 말은 사실상 ip 1개를 부여받는다고 생각하면 되는데, 단순히 생각하면 ip가 1개이니 이용할수 있는 기기도 1개여야 맞겠죠?그런데 PC, TV, 기타 무선기기들까지 동시에 접속되어 사용하는 기기들이 많다보니 1개의 회선을 나눠서 동시에 사용하기 위해서 인터넷서비스 업체에서 제공한 1개의 회선을내부적으로 나눠서 사용을 합니다. 가장 흔한 예가 공유기이죠.(물론 공유기를 사용하지 않아도 OS에서 내부적으로 사설ip가 부여되기는 합니다)공유기 등을 이용해서 접속하는 기기마다 내부적으로만 사용하는 IP를 부여해서 사용하게 하는데이게 사설 IP입니다. 일반적으로 192.168.***.*** 형태로 볼 수 있는 ip입니다.이 IP는 내부적으로만 사용가능한 가상의 ip라 생각해주세요. 반면에 네이버등의 포털에서 내ip주소 찾기 등을 이용해서 확인가능한 ip는 공인IP입니다.사설ip와 달리 가상이 아닌 실체가 있는 ip라 생각하시면 되며, 이런 공인 IP는 일반적으로 인터넷 서비스업체(SKB,KT,LGu+등)에 가입하게 되면 부여가 됩니다.다만 일반적인 가정에서 부여받는 IP는 IP주소가 고정이 되어있지않고 접속할때마다 변동이 될 수 있는데, 이와 반대로 언제 접속해도 동일한 IP가 고정IP로, 일반가정에서는 잘 사용하지 않고 인터넷 서비스 업체에 요청해서(비용이 더 비싸죠) 회사나 기관 등에서 사용하는 편입니다.이런 고정 IP를 사용하는 이유는 여러가지인데,외부에서 내 네트워크로 접속을 하게끔 만드는 경우(접속할때마다 ip가 달라진다면 그때마다 알려야하니까),특정 웹사이트나 기타 온라인 서비스에 접속을할때 기존에 승인된 IP만 접속이 가능한 경우 등을위해서 사용합니다. 질문주셨던 내용중 ip할당은 누가하는지에 대한 답변을 드리면,가입한 통신사에서 할당을 합니다.네이버의 내 ip주소 찾기에서 확인한 ip는 통신사에서 할당한 ip로이 주소를 복사해서 whois 검색(https://whois.nic.or.kr)을 통해 조회해보시면가입하신 통신사의 정보를 확인하실수 있습니다. 또한 토렌트처럼 외부에 접속하는 경우에는 공인IP로 접속을 하게 됩니다.(192.168.*.* 처럼 사설ip는 내부에서만 사용합니다 !) 그리고 질문주실때 죄송하실 필요 전혀 없습니다!입문자를 위한 강의인만큼 아주 기초적인 질문이라도 걱정마시고 질문주세요~그러시려고 비싼 수강료 내고 강의를 들으시는거니까요!오히려 딥한 질문 주시면 제가 답변을 드리지 못할수도 있습니다 :)

Encase 만 사용해서 실기시험 볼 수 있을까요 ?

안녕하세요 홍은표님!기본적으로 Encase만으로도 시험준비가 가능하긴 합니다.굳이 나눠서 보자면,시험시 사용하는 툴에는 메인 분석프로그램과 보조 분석프로그램이 있습니다.메인 분석프로그램은 Encase / Autopsy 정도이며기본적으로 이미징 파일을 Encase or autopsy에 올려서 분석을 진행하고Encase나 autopsy에서 분석이 안되거나 분석이 되더라도 분석결과를 확인하기 불편하거나 하는 경우보조 분석프로그램을 사용하기도 합니다.이러한 보조 분석프로그램은 아티팩트에 따라서 세분화 되어있고 그 종류가 매우 많기때문에시험본부에서 제공하는 보조 분석프로그램 중에 선택해서 사용이 가능한데요,우선 Encase의 경우 autopsy에 비해서 상대적으로 분석이 되는 아티팩트가 조금 더 많은 편이긴합니다다만 Encase의 특성상 UI등이 상대적으로 직관적이지 못하고 복잡한 면이 없지 않기때문에Encase에 대해서 어느정도는 많이 알고 익숙하다면 큰 문제 없겠지만그렇게 않다면 보조프로그램 사용이 필요할 수 있습니다.개인의 Encase의 사용수준에 따라 차이가 많이 나기때문에 Encase만을 이용해서 시험을 볼 수 있다 없다라고 단답형으로 답변을 드리기에는 조금 어려울것 같습니다만,기본적으로 다른프로그램을 사용하지 않고 Encase만을 이용해서 시험을 볼수 있냐는 질문에는가능은 하다라고 말씀드릴수 있을것 같습니다.다만 출제되는 아티팩트가 시험마다 다르고, 해당 아티팩트를 분석해줄 보조프로그램의 사용법들이어렵지 않다보니 되도록 함께 준비하시는것을 추천드립니다.

향로 챌린지 참여 특별미션으로 질문 남기게 됐습니다.

네 궁금하신점이 있으시면 언제든 질문주세요~:)

enase recovery 복구후 이미지 생성

박총괄이 보낸 메일 발신일자 관련해서

안녕하세요 jm99142님!실습문제 4번의 이메일 발신일시에 대해서 궁금하신거죠 ?말씀하신 부분의 영상을 저도 다시 한번 확인해봤는데, 아마 기준시간대가 달라지면서 다르게 나오는 시간때문에 헷갈리신것 같아요~ 우선 확인하셨던 내용을 추측해보면,1) mailview 에서 보신 아래의 타임스탬프 : 2024-10-31 오후 3:50:44(사진) 메일헤더에서 확인하신 타임스탬프 : Thu, 31 Oct 2024 06:50:44 -0000 (사진) 두 시간을 비교해보면 동일한 10월 31일이고, 시간만 오후 3시 50분 44초 vs 오전 6시 50분 44초로 [시]만 차이가 있습니다.비교해보면 정확히 9시간 차이가 난다는 걸 눈치채셨을거예요.정리하면 Mailview 프로그램의 타임스탬프에서 확인한 오후 3시(15시)는 한국표준시각(UTC+9)이고메일헤더에서 확인한 오전 6시는 UTC+0의 시간입니다.메일헤더의 [Thu, 31 Oct 2024 06:50:44 -0000] 에서 '-0000'이 UTC+0 임을 표현해주고 있습니다.사실상 같은 시간이며, 시간대 차이에 따른 표기의 차이임을 알수가 있습니다.이렇게 동일 프로그램이어도 표현할때 다르게 표현될 수 있음을 항상 생각하시고,현재 확인한 시간의 시간대가 어떻게되는지 반드시 체크를 해주셔야 정확한 시간을 알 수가 있습니다 !

쓰기방지실습

안녕하세요 midnight_sun님!올려주신 스샷을 봤을때는 설정은 제대로 하신것 같은데, 저렇게 했음에도 불구하고 쓰기방지 적용이 안되어서 계속 쓰기가 가능한 상태라는 말씀이신거죠 ?구글링등 여러 방법으로 찾아보신것 같아서, 제가 말씀드릴 내용들도 다 시도를 해보셨을것 같긴합니다만... 저도 이런 경우는 처음보다보니, 우선 하나씩 해보면서 문제점을 찾아봐야할것 같습니다.1) 위 스샷에 보면 writeprotect가 우선 1로 잡혀있긴한데, 저기 값을 1로 바꾼 후 바로 캡처를 하신걸까요? 저렇게 변경하신다음에, 재부팅을 한 후 여전히 값이 1로 유지가 되는지 확인한번 부탁드립니다 2) 다른 USB로 시도 찾아보니 아주 일부 usb에서 이렇게 writeprotect 를 변경해도 적용이 안되는경우가 있다고 하는데 다른 usb로도 동일하게 문제가 발생할까요? 3) 문제가 됐던 USB를 다른 컴퓨터에서도 동일한 방법으로 레지스트리로 쓰기방지후에 연결해서 똑같이 쓰기방지가 안되는지 확인 부탁드립니다 4) 레지스트리 편집기 실행시에 '관리자 권한으로 실행'하여 수정을 해보세요5) 백신이 간섭하는 경우도 있다고 하니 백신이 실행중이라면 잠시 끄고 해보세요.6) 혹시 현재 윈도우즈에 설치된 프로그램 중 쓰기방지에 영향을 줄만한 프로그램이 있는지 확인해보세요7) 정말 혹시나해서 여쭤보는 부분인데, Encase Fastbloc SE 등 쓰기방지 가 중복으로 실행되고 있는건 아닌지도 확인한번 해보세요.(fastbloc se에서 쓰기방지 해제상태로 설정이 유지중이어도 레지스트리에서 변경하면 쓰기방지가 되는게 맞긴한데... 혹시 모르니 중복 실행중이라면 하나를 확인이 꺼주시고 다시 한번 해주세요) 모두 검색하면 나오는 내용이라 다 해보시긴 했을것 같지만, 저도 궁금하네요. 각각의 경우에 결과가 어떻게 됐는지 말씀한번 부탁드리겠습니다.