게시글
질문&답변
2024.04.10
실기시험 Tool 사용 질문
안녕하세요 deepdive182님! 질문주신 순서대로 답변 드릴게요~ 1) 실기 시험중 Encase와 autopsy 동시 사용해야하는 경우가 있는지 물론 가능합니다만 현실적으로 그렇게 사용하실 일은 거의 없다고 생각됩니다. 2개의 분석 툴 중 한 곳에서는 분석이 안되는 내용이거나, 둘 다 분석이 가능한 내용이라고 해도 분석결과를 표현하는데 있어서 개인적으로 선호하는 분석 툴이 있기때문에 2개를 모두 사용하는 경우는 있을수 있습니다. 하지만 4시간이라는 시간제약과 툴 사용에 아직은 익숙하지 않은 점, 2개의 툴을 동시에 돌리기에는 전체적으로 속도가 느려지는 등의 여러 문제가 있기때문에 현실적으로는 그렇게 하기가 쉽지 않습니다. 만약 주로 사용하는 분석툴에서 분석이 불가능한 문제가 있고, 배점등이 높아서 반드시 해결을 해야한다면 다른 툴을 이용해서 해야겠지만, 각각의 툴 사용법과 전체적인 시험 분위기등에 익숙하지 않은 상황을 감안할때, 되도록 하나의 툴로 진행하시는 것을 추천드립니다 ! 2) Encase Fast Bloc SE 사용 후 종료시 쓰기방지 유지 여부 Encase Fast Bloc SE로 쓰기방지를 하신 후에 Encase를 종료하셔도 쓰기방지는 그대로 유지 됩니다 ! 다만 혹시라도 프로그램 에러 등 예상치 못한 문제로 인해 쓰기방지가 풀릴 가능성(물론 그렇지 않겠지만)도 생각을 해야 안전할것 같아서, 쓰기방지가 필요한 상황에서는 Encase를 종료하지 않고 유지하는것을 추천 드립니다. 2-1) 쓰기방지 설정 유지를 언제까지 해야하는지 쓰기방지는 증거인 원본 USB의 이미지 사본을 만드는 동안만 유지하시면 됩니다. 증거인 USB 매체를 받으신 후 > 쓰기방지 설정 > USB 연결 > 이미징 > 이미징 완료 후 USB 연결해제 쓰기방지 해제 의 순으로 생각하시면 될것 같아요. 쓰기방지를 해제 안하셔도 분석을 진행하는데는 문제는 없습니다. 시험이 끝날때 분석한 자료를 검정본부 에서 제공한 USB등에 복사해서 제출을 하셔야하는데, 쓰기방지를 해제 안한 상태에서 분석을 진행하시고 시험종료가 임박한 시점에서 급하게 USB에 복사를 하시려고 하면 쓰기방지가 걸려있어서(더 심한 경우는 Fastbloc SE에서 Protected가 아닌 Blocked로 설정하신 경우 복사가 된 것처럼 보입니다!) 당황스러울수 있습니다. 차분히 생각해보면 '아, 쓰기방지 해제해야지'라고 생각하실 수 있는데, 마음이 급하다보니 생각이 안날 수도 있거든요. 그래서 이미징 작업 등이 완료가 되고, 증거 USB 원본을 더이상 연결할 이유가 없다면, USB 연결 해제하신다음에 쓰기방지도 함께 해제하시는게 당황할 수 있는 상황을 만들지 않을것 같습니다. 다만 이미징한 파일에 문제가 있거나, 처음에는 e01으로 이미징 했지만 dd 파일로 다시 이미징 해야하는 등 증거 USB를 다시 연결해야하는 상황이라면 잊지 마시고 꼭 쓰기방지 설정을 다시 해주셔야합니다 !
- 0
- 2
- 138
질문&답변
2024.03.31
이미징 사본 생성할때 문의드립니다.
안녕하세요 deepdive182님! 증거 USB의 이미징 사본을 생성할때는 [USB를 통으로] 이미징 합니다! 증거USB를 증거로 사용하고자 분석을 위해 사본을 생성할때는 [복제 또는 이미징] 하는 방법으로 생성을 하게되는데요 복제 : 증거 USB를 원본으로 하고 복제하고자하는 사본용 USB를 직접 연결해서 기기>기기 형태로 복사가 아닌 복제를 하게 되며 이미징 : 증거 USB를 이미징 장치(또는 컴퓨터에 연결후에 이미징 프로그램이용)에 연결한 뒤 증거 USB안에 있는 모든 내용을 하나의 파일(이미지파일)로 저장하게 됩니다. 강의에서 말씀드린것처럼 복사와 복제는 다른 개념으로 이해를 해주셔야하며, 디지털 포렌식의 증거 수집과정의 시작인 복제는, 우리가 일상에서 윈도우즈 탐색기 등을 이용해서 복사 붙여넣기 형태로 USB안에 있는 몇몇 파일들을 옮기는 형태가 아닌(이건 복사!), 해당 파일들의 속성 정보까지(파일이 저장되어있던 섹터 번호 등) 다 가져오는 복제의 형태로 하셔야합니다. (물론 복사한 파일은 무조건 증거능력이 없다라고 할 수는 없지만, 시작하시는 지금 단계에서는 우선은 복제만 가능하다! 라고 생각하시면 조금 덜 헷갈리실것 같아요) 이렇듯 증거 USB를 복제하기 위해서는, USB to USB나, 이미징 사본 파일 2가지의 방법이 있는데 시험에서는 사실상 이미징만 가능하므로 이를 이미징 하기 위해서는 1) 이미징 작업을 하려는 컴퓨터에서 먼저 쓰기방지 적용 2) 증거 USB의 연결 3) 이미징 프로그램을 실행하여(예: FTK Imager) 이미지 생성 기능 시작 4) 이미징하려는 원본 증거 USB 매체의 선택(USB안의 특정 파일을 선택하는 것이 아닌 USB 자체를 선택합니다!) 5) 사본으로 만들어질 이미징 파일의 파일명과 저장위치 등의 옵션 설정 후 이미지 생성 이런 순서대로 진행하시면 됩니다! 다시 한번 말씀드리지만 절대로! 절대로! 증거 USB안에 있는 파일을 복사해서 분석 컴퓨터에 붙여넣은 다음, 그 파일들로 이미징 작업을 하는게 아닌, 증거 USB가 연결된 상태에서 해당 USB 자체를 원본으로 잡고 이미징 작업을 한다는 점 꼭 기억해주세요~ :)
- 0
- 1
- 144
질문&답변
2024.03.20
HxD로 분석한 것과 FTK-imager에서 보여주는 총 섹터 수가 서로 다를 수 있나요?
안녕하세요 Jeb the sheep님! HxD를 이용해서 확인한 FAT32 의 BR 분석은 말씀하신대로, 총섹터의 수가 1,966,048이 맞습니다. 하지만 FTK imager에서 확인한 섹터수가 32개가 더 많은 1,966,080개로 안맞아서 당황스러우실텐데요. FTK Imager에서 확인하신 섹터의 수 는 HxD의 FAT32 BR분석에서 확인한 [볼륨의 섹터수]가 아니라 [이미지의 전체 섹터수] 입니다 ! 이미지의 전체 섹터수 안에 FAT32 볼륨의 섹터수가 포함이 되겠죠. (사진) 위 스크린샷을 보시면, 0번섹터인 FAT32의 BR을 복구한 뒤의 모습입니다. FAT32의 Total sector32 항목을 계산해보면 E0 FF 1D 00 > 00 1D FF E0 으로 10진수로 1,966,048 이지만 우측 상단의 섹터 이동 바에서 이 이미지의 총 섹터수는 1,966,080임을 확인할 수 있죠? 다시 얘기하면 이 이미지는 총 1,966,080 개의 섹터로 구성이 되어있는데 그 중에서 FAT32 볼륨의 섹터가 1,966,048개를 차지하고 있다는 의미입니다. (사진)위 스크린샷은 동일한 이미지파일을 FTK Imager에서 확인한 내용인데, Evidence Tree에서 최상단의 이미지 파일명이 선택된 상태면, 왼쪽 하단의 Properties에 [Disk]정보를 확인할 수 있습니다. 이곳은 볼륨이 아닌 디스크(이미지)에 대한 정보로 위에서 설명드린것처럼 이 이미지 안의 전체 섹터수를 확인하는 부분입니다. 헷갈리기 쉬운부분이라서 반드시 Disk에 대한 정보인지 볼륨에 대한 정보인지를 확인해주셔야해요~ 참고로 이미 섹터당 용량을 알고 있기때문에(512bytes) 이미지 파일의 전체 섹터수를 단순 계산으로도 확인할 수는 있는데, 이미지 파일의 총 용량(디스크 할당 크기가 아닌 실제 용량)이 1,006,632,960 Bytes이므로 1,006,632,960 / 512 = 1,966,080 = 총 섹터수 이렇게도 확인할 수 있으니 참고해주세요~ (사진) 제가 올려드린 자료가 아니여도 전혀 문제없으니 궁금하신 부분이 있다면 언제든지 올려주시면 확인후에 답변 드릴게요~!
- 0
- 1
- 105
질문&답변
2024.03.11
Ence 프로그램 관련
안녕하세요 김영일님! Encase 라이선스 Encase는 상용프로그램으로 별도의 라이선스가 있는 경우에만 사용이 가능합니다. 이 라이선스 인증 방법으로는 크게 동글방식(USB)과 네트워크 인증 방식이 있어서 개인이거나 기관, 기업에서 구매방식에 따라서 인증방식이 조금씩 다릅니다. 말씀하신것처럼 동글이 없다면, 네트워크 인증방식의 인증키와 서버정보가 있지 않는이상 Encase를 정상적으로 사용하실수가 없습니다. 시험장에서의 Encase 지원여부 현재까지의 시험에서는 버전의 차이는 있었지만 Encase를 지원해왔었고, 인증방식은 시험회차마다 조금씩 차이가 있던것으로 알고 있습니다(동글 or 네트워크 인증). 물론 개인 동글을 소유한 분들은 그 버전에 맞는 encase를 프로그램사용 사전 신청을 통해서 사용하시는 분들도 계셨던것 같고요. 시험장에서 네트워크 인증 방식으로 제공을 하는 경우에는 수험자가 각자 네트워크 인증 세팅까지 해야하는 경우도 있었습니다. 현재까지는 Encase를 시험장에서 기본 제공하였지만 , 이부분은 시험때마다 조금씩 달라지는 부분이 있기때문에(지원여부 및 지원시 인증방식) 반드시 한국포렌식학회에서 시험 전에 제공하는 디지털포렌식 프로그램을 꼭 확인하셔서 준비하시는것을 권장드립니다 ! 디지털포렌식 분석 프로그램의 선택 커리큘럼상 이제 Encase 프로그램 강의에 들어가신다고 말씀해주셨는데, 시험준비하시면서 Encase 프로그램 사용이 가능하시다는 말씀이신거죠? 계속해서 Encase 프로그램을 이용하여 시험 준비가 가능하시다면 괜찮지만, 혹시라도 Encase 사용이 불가능하시거나, 부분적으로(예를 들어 1주일에 하루정도 등 사용이 제한적)만 사용이 가능하시다면 강의소개에서도 안내드린것처럼 커리큘럼상 [Encase]로 되어있는 강의들은 보지마시고 [Autopsy] 강의 봐주세요. 앞서 말씀드린것처럼 Encase는 상용프로그램이고 기업이나 교육기관등에서 라이선스를 보유하여 접근가능하신 경우에만 사실상 쓸수 있기때문에, 그렇지 못한 환경이시라면 사실상 공부하실수가 없습니다 강의영상만을 보고 시험을 보실수가 없기때문에 계속 사용가능한 프로그램을 선택해주세요! (노파심에 말씀드렸습니다 🙂 )
- 0
- 1
- 104
질문&답변
2024.03.07
NTFS 백업본과 관련하여 질문이 있습니다.
안녕하세요 jeb the sheep님! NTFS BR의 백업본이 처음에 공부하시기에는 많이 헷갈리시죠? 우선 아시다시피, NTFS BR의 백업본은 [ 해당 파티션의 마지막 섹터 ]에 위치하게 됩니다. 여기에서 [해당 파티션의 마지막 섹터]라는게 정말 중요 한데 헷갈리기도 쉬운 부분이거든요. FAT의 경우 [무조건 BR의 6번째 뒤 섹터 ]라고 명확한데 NTFS는 그렇지가 않으니까요. 말씀하신 MFT의 경우 해당 파티션의 데이터 영역 어느곳에도 존재할수가 있습니다. 우선은 MFT의 저장위치와 BR의 백업 섹터의 위치는 상관이 없다라고 생각해주세요! 중요한건 NTFS 파티션의 총 섹터수 가 중요하다라고 생각을 해주세요. 우리가 알고 있듯이 NTFS 파티션의 BR 백업은 해당 파티션의 마지막 섹터에 우치합니다. 예를 들어서, 하나는 1GB, 다른 하나는 2GB의 용량을 가진 2개의 USB가 있고, 각각의 섹터수는 100개/200개라고 가정을 해볼게요.(물론 단일파티션이고, 파일시스템은 NTFS라고 가정) 1번 USB = 1GB = 섹터수 100 / 2번 USB = 2GB = 섹터수 200 이런 경우, 우리가 배웠던대로 아주 단순하게 생각하면 1번 USB의 BR = 0번섹터 / BR의 백업섹터 = 99번 섹터 2번 USB의 BR = 0번섹터 / BR의 백업섹터 = 199번 섹터 이렇게 되겠죠? 그렇게 되면 너무 좋은데, 문제가 있습니다 ㅜ_ㅜ 1) 단일 파티션이 아닌경우 하나의 저장장치(HDD, SSD, USB 등)에 여러개로 파티셔닝 된 경우 - 만약 USB 하나가 있고, 이 기기의 총 섹터수가 총 100개라고 가정해볼게요(용량은 신경쓰지마세요~) 첫번째 파티션이 NTFS이고, 이 파티션이 사용하는 섹터는 0번~30번 두번째 파티션이 FAT32이고, 이 파티션이 사용하는 섹터는 31번~60번 세번째 파티션이 FAT32이고, 이 파티션이 사용하는 섹터는 61~99번 이럴 경우에 MBR등은 다 무시한다고 하면 첫번째 파티션의 BR은 0번에 있고, BR의 백업섹터는 30번에 있을겁니다. 다만 이 USB를 이미징해서 HxD로 봤을때는 섹터순서대로 나오니까 위의 파티션 순서대로 쭉 나올거예요 그런 상황에서 HxD에서 마지막 섹터로 가서 보면 첫번째 파티션의 BR 백업을 찾을수가 없겠죠? 위의 예시대로라면 HxD에서 확인한 마지막 섹터는 세번째 파티션의 마지막 섹터 니까요. 두번째 파티션도 한번 볼까요? 두번째 파티션은 FAT32이고, BR은 해당 파티션의 가장 첫번째 섹터니까 BR=31번섹터이고, BR의 백업섹터는 [무조건 BR기준 뒤로 6번째 섹터]니까 37번 섹터겠죠? FAT32의 백업섹터를 찾는건 아주 쉽습니다. 해당 FAT32의 파티션 BR이 있는곳만 찾으면 자동으로 찾아지니까요. 위 첫번째 NTFS의 경우처럼 'NTFS의 BR 백업은 마지막에 있다고 했어' 라는 말은 HxD에서 봤을때 마지막 섹터를 의미하는것이 아닌 해당 파티션의 마지막 섹터를 의미 합니다. 그걸 정확히 알기 위해서는, 파티션의 첫번째 섹터인 BR의 위치만 알면 다 해결되던 FAT32와 달리 NTFS에서는 해당 파티션의 시작(BR)섹터와 함께 추가로 해당 파티션의 총 섹터수도 알아야 백업섹터를 구할수가 있습니다. (BR의 섹터 + 총 섹터수 - 1 = [해당 파티션의] 마지막섹터 !) 여기까지 이해되실까요? 이해를 돕기 위해서 굳이 한 번 더 억지로 예를 들자면 Chapter1 ~ Chapter5 까지로 나눠져있는 교과서가 있는데, 중간고사 시험범위를 [Chapter 1 '마지막'까지] 라고 공지를 했는데 '마지막'만 생각이 나서 Chapter 5의 끝부분만 공부하는 경우 ! 예가 너무 억지일까요? -_-; 아무튼 마지막은 마지막인데 어느곳의 마지막인지를 정확히 구분 을 하셔야해요 2) 단일파티션인 경우 1)에서는 다중파티션일 경우를 설명드렸어요. 저것만 보면 "그래 파티션 여러개니 그럴수있지 이해됐어, 그런데 단일 파티션은 무조건 끝에 있어야하는거 아니야?" 라고 생각하실수 있습니다. 그런데! 저장장치 1개의 파티션이 하나만 있다고해도 해당 파티션의 마지막섹터가 저장매체의 총 섹터중 마지막 섹터와 같은 말은 아닙니다 ! 조금 다른 얘기긴한데 굳이 예를 들어보면 우리가 USB든 HDD든 저장장치를 구입해서 사용하려면 그 전체용량을 다 사용할수가 없죠? 예를 들어 16GB USB라고 해서 샀는데, 우리가 실제로 저장공간으로 사용할수 있는 공간은 16GB보다 작습니다. 15GB든 14GB든 어쨌든 16GB가 아니죠 ? 어떤 파티션이든 파일시스템이 필요할테고 그 파일 시스템의 구성요소들이 기본적으로 담겨있을 공간이 필요하다보니 그 부분은 제외하고 나머지 공간을 우리가 쓰기때문에 16GB 다 사용할수 없다라고 가볍게 생각하시면 되는데 이런 점과 비슷하게 생각해볼때, 여기에서 중요한건 [ 하나의 파티션이라해도 그 저장장치의 전체를 다 사용하는건 아니다 ] 라는 점이예요. 이걸 다시 표현해보면 16GB USB가 1개 있고, 이 기기의 총 섹터수가 100개이며, 파티션은 NTFS 단일 파티션이라고 가정해보겠습니다. 그렇다면 BR이 있는 섹터는 0번섹터 이고, 백업은 파티션의 마지막이라고 했는데 단일파티션이니 당연히 99번섹터가 마지막이라 생각할수가 있겠죠.(MBR등 모두 무시한다고 가정) 그런데 위에 [하나의 파티션이라해도 그 저장장치의 전체를 다 사용하는건 아니다]라는 말을 적용해보면 단일 파티션인 NTFS 파티션은 총 100개의 섹터중 0번~94번 정도만 사용할 한다는 뜻입니다. 그렇다면 95~99번 섹터가 남아있는데 여긴 할당받지 못한 비할당영역이거나, 뭔가 다른 용도가 있다는거겠죠. 그렇다면 NTFS파티션은 0번~94번섹터이니, 쉽게 보면 BR은 0번이고 BR백업은 94번이겠죠? 이렇게 접근을 해주셔야해요. 파티션이 하나밖에 없다고해도 HxD에서 맨 마지막에 있는 섹터가 해당 파티션이 아닐수 있거든요. 그래서 결.론.은. NTFS 파티션의 BR 백업 섹터는 마지막 섹터에 존재한다. 단 그 마지막이 전체의 마지막이 아니다 ! 반드시 백업섹터의 위치를 알고자하는 해당 파티션의 BR섹터와 총섹터수를 알아야 정확하게 찾을수 있다! 수강생 여러분들이 질문을 주시면 항상 필요 이상으로 답변이 길어지는걸 많이 느끼면서 원인이 뭘까 생각을 해봤는데, 아마 제가 설명을 잘 못해서인것 같습니다; 간략하지만 이해가 한 번에 될 수 있게 글을 쓸 수 있으면 좋을텐데 그렇지 못한거 같아서 죄송합니다 ㅜ_ㅜ 혹시 이해가 잘 안되시면 얼마든지 더 질문주세요! 이해 되실때까지 설명해드리겠습니다 !
- 0
- 1
- 74
질문&답변
2024.03.02
교수님 문의드립니다
안녕하세요 김영일님! 보고서 및 증거파일 저장 방법 네 이 부분은 시험때마다 어떻게 변경이 될지는 가봐야 아는 부분이다보니 '이렇게만 연습하세요'라고 말씀드리기가 어렵습니다. 우선 크게는 보고서는 문제별로/하나의 통합보고서로 하는 방식, 그리고 증거파일 저장역시 문제별로 폴더생성 후 저장/하나의 폴더에 모두 저장등 연습하실때 각각 한번씩 연습하신 후에 시험장에서 안내에 따라 맞게 제출을 하시면 될것 같습니다. 기출문제 앞선 답변에 말씀드렸다시피 문제공개를 금지하고 있기때문에 공개적으로는 불가능하며, 말씀하신대로 개별적으로 공유하기에도 어려움이 있습니다. 이점 양해 부탁드리며, 기존의 반복되었던 문제들은 강의영상과 다운로드 받으실수 있는 교재를 참고하시면 좋을 것 같으며, 최근에는 계속해서 새로운 유형의 문제가 출제되고 있는 편인데(과거의 파티션 복구 문제를 대체하는 형태로, 윈도우즈 또는 디지털 포렌식관련 특정 기능이나 프로그램을 알고 있는지, 또 그러한 기능이나 프로그램을 사용할 줄 아는지에 따라 증거분석 가능 여부를 결정하는 형태로 출제가 되고 있습니다) 이런 핵심적인 부분은 시험 리뷰 영상에서 대략적으로 확인 하실수가 있을것 같습니다.
- 0
- 2
- 129
질문&답변
2024.03.01
교수님 문의드립니다
안녕하세요 김영일님! 궁금하신점 답변 드릴게요~ 1) 기출문제 공개 포렌식학회에서 기출문제를 공개하지 않기도 하고, 또 기출문제를 온라인상에서 공유하는 것을 금지하고 있습니다. 그렇다보니 공개적으로 기출문제를 올릴수가 없어서 개인적으로도 아쉽게 생각하는 부분입니다. 그나마 매 시험때마다 조금이라도 내용을 확인해보고 핵심적인 부분들은 리뷰 영상을 통해 안내해드리고자 하니 그 부분은 양해부탁드리겠습니다 ㅜ_ㅜ 2) 보고서 작성 및 증거파일 저장 방법 많이 헷갈리시죠? 제가 올려드린 영상은 영상 업로드 당시까지의 일반적인 보고서 작성 방법을 기준으로 안내를 드렸는데, 최근 들어 다시 바뀌는 추세로 보입니다. 예전에도 보고서 작성 및 증거파일 저장이 한번은 각각의 문제별로 보고서 작성과 증거파일 폴더를 생성하는 경우도 있었고, 또 한 번은 모든 문제를 하나의 보고서로 작성하고, 증거파일도 하나의 폴더에 넣는 등 조금씩 다른 형태를 취했습니다. 이렇다보니 헷갈리실수가 있는데, 이 부분은 시험 당일에 보고서 작성 방법 및 증거파일 제출 방식에 대한 안내를 보고 따라 가시는 방법밖에 없을것 같습니다. 개인적으로는 이런 부분들이 통일되어서 명확하게 이어지면 좋겠는데, 현실은 그렇지가 못하네요. 이부분은 처음에는 헷갈리실수 있지만 어떻게보면 큰 부분은 아니다보니 연습하실때 각각의 문제별로 보고서 작성(문제별로 hwp 파일이나 워드파일이 각각 생성)과 증거파일 저장 폴더를 문제별로 각각 생성 해보시고, 다른 연습때는 또 하나의 보고서에 하나의 증거파일 저장폴더를 생성하는 방식으로 나눠서 연습해보시면 금방 적응되실것 같아요. 말그대로 명확하게 고정된 기준이 없다보니 시험 당일에 안내되는 부분을 확인해서 그에 따라 작성 및 저장을 하시는 방법밖에 없을것 같습니다. ㅜ_ㅜ
- 0
- 2
- 129
질문&답변
2024.02.21
복사와 복제에 대해서 질문이 있습니다.
아닙니다. 처음에는 강의를 들어도 충분히 헷갈릴수 있기 때문에 너무 신경안쓰셔도 됩니다. 이런 걸 확실히 해드리기 위해서 이런 공간이 있는 것이니 언제든지 조금이라도 궁금하신 점이 있다면 부담없이 질문주세요~ 그리고 복사와 복제에 대해서 답변 드리려고 했던 내용을 말씀드리자면, 우선 복사와 복제의 차이에 대해서 기본적으로 이해를 잘 하고 계신 것 같아요. 어떠한 프로그램이 있고 이 프로그램에는 프로그램 구동을 위한 .dll파일들이 있는 경우로 예시를 들어주셨는데 뭐랄까요, 맞긴한데 약간은 방향이 다른 느낌이라고 설명을 드려야할까요 ? 복사와 복제를 구분하는 것은 예를 들어주신 것처럼 한 프로그램에 묶여있는(같은 폴더에 있는) 파일들이 한번에 그대로 옮겨진다는 의미보다는 파일단위로 생각하시는게 조금 더 편하실것 같습니다. (프로그램이 설치된 폴더를 그대로 복사하면 동일하게 한번에 옮겨지니 복사와 복제의 차이로 설명하긴 어렵거든요) 복사와 복제 모두 파일의 사본이 만들어지는건 동일하지만, 복사 -단순히 파일의 내용과 기본정보만을 옮기는 것(파일명, 내용, 용량 등의 기본적인것들) 복제 - 파일의 내용과 기본정보 + 추가적인 정보(파일이 저장된 섹터의 번호 등) 이렇게 생각을 해주셔야할것 같아요. 복사는 단순히 그 파일의 사본을 만드는것이고, 복제는 그 파일이 담겨져있는 모든 환경을 그대로 가져와서 사본을 만드는것으로 원 본과 완전히 동일한 사본을 만들기 위해서는 복제 를 해야한다는 점! 물론 복제라고 해서 위에 말씀드린 파일이 저장된 섹터번호 등의 모든 정보를 항상 담는 것은 아닙니다. 특히 복제를 파일 형태로 만드는 이미징의 경우, 물리이미징, 논리이미징 형태로 크게 나눠볼수가 있습니다. 물리이미징은 해당 기기(hdd, usb등)에 담겨져 있는 데이터의 전체를 그대로 복제하는 경우이고 논리이미징은 선택한 특정 파일만을 복제하는 방법인데 실무에서, 과거에는 특정 사건과 관련된 저장장치를 그대로 복제한 후 다 가져와서 분석을 하는 물리이미징을 많이 했었지만, 수집한 전체 데이터에 사건과는 관련없는 내용들까지 모두 담겨져있는 상태로 복제를 하기때문에 필요이상의 개인정보를 수집하게되는 문제가 있습니다. 그래서 최근에는 불가피한 경우를 제외하고 사건과 관련있는 내용만을 수집하는 선별수집 형태로 수집을 하기때문에 논리적 이미징 형태로 수집을 많이 하는 편입니다. 예를 들어서 용의자의 데스크탑이 있고, 윈도우 11이 설치되어있었으며, HDD 1TB 1개가 연결되어있고, 파티션도 하나만 있다고 가정을 해볼게요. 이 컴퓨터의 하드 디스크가 증거수집 대상이라고 한다면, 그 HDD에는 윈도우즈와 관련된 파일들, 다운로드 받은 파일들, 설치된 프로그램 폴더 등등 매우 많은 파일들이 있겠죠? 그 중에서 C:\Program files\ABCD\ 라는 프로그램이 설치된 폴더가 있고, 그 안에 저장되어 있는 파일들이 아래와 같이 4개가 있다고 가정하겠습니다. -C:\Program files\ABCD\ABCD.exe -C:\Program files\ABCD\DATA\dat1.dat -C:\Program files\ABCD\DATA\dat2.dat -C:\Program files\ABCD\Log\log.log 그리고 위 파일중 C:\Program files\ABCD\DATA\dat1.dat, dat2.dat 라는 파일만이 사건과 관련된 증거라고 한다면, 1) 물리이미징 원본 1TB HDD 를 증거수집용 새 1TB HDD와 연결해서 그대로 복제하는 방법 원본 1TB HDD 를 이미징하여 파일로(dd,e01 등) 복제하는 방법 이렇게 복제한 HDD나 이미징 파일은 원본과 동일한 완전한 사본이 됩니다. 그러므로 위의 C:\Program files\ABCD\DATA\dat1.dat 파일을 포함한 모든 파일의 저장위치가 원본 HDD와 동일하며,(여기까지는 복사를 했을때와 동일하죠?) 각 파일이 저장되어있던 섹터번호도 동일하게 됩니다(이건 복제일경우게만 가능하겠죠) 2) 논리이미징 원본 1TB HDD를 탐색하면서 사건과 관련된 파일인 C:\Program files\ABCD\DATA\dat1.dat과 dat2.dat 만을 수집하려는 경우 위의 2개 파일을 하나의 이미징 파일로 수집하는 방법이 있고, 또는 디지털 포렌식 프로그램을 이용하여 추출하는 방법도 있습니다. 이 경우 물리이미징처럼 각 파일의 저장되어있던 폴더 위치나 저장되어있던 섹터의 정보 등은 포함이 안됩니다. 다만 복사와는 다르게 완전한 원본의 사본을 만드는 거라고 생각을 해주세요. 물론 위의 파일들을 그냥 복사 한다고 해서 해시값이 틀어지는 등 변조될 가능성은 낮긴 합니다만, 그렇다고 해서 단순히 복사를 해서 수집을 한다면 복사중에 변조될 위험성 때문에 증거력을 인정받을 수 없는 상황을 애초에 방지 하기 위해서 복사를 하지 않는다라고 생각을 해주시면 될것 같습니다. (물론 단순 복사 파일은 증거력이 없다라는 얘기는 아닙니다!) 설명이 조금 어려우셨을거라 생각되는데, 논리 이미징의 경우 지금은 설명 안 드릴까하다가 그래도 한번 전체적으로 설명을 드리는게 나을것 같아서 말씀드렸습니다. 복사와 복제의 차이를 공부하는 파트에서는 우선은 물리적 이미징만 생각을 해주세요. 그래야 처음에 헷갈리지 않습니다. 중요한점을 정리하면, * 복사는 단순히 파일만 가져오는것 / 복제는 파일과 파일이 저장되어있던 모든 환경의 정보를 그대로 가져오는것 * 복제를 해야 완전한 사본을 만들수 있다! 지금은 이렇게만 기억을 해주세요! 시험과 관련해서는 위 내용을 정확히 구분하고 설명할수 있는 능력이 필요하진 않습니다. 지금은 복사와 복제는 다르다는 기본 개념만 이해하시면 될 것 같아요 !
- 0
- 2
- 214
질문&답변
2024.02.20
복사와 복제에 대해서 질문이 있습니다.
안녕하세요 jeb the sheep님! 답변드리기에 앞서서, 질문주신 내용 중 ' 복사는 위치와 크기가 상관 없다 ' 라는 내용을 아마 강의에서 보시고 그 부분 때문에 헷갈려서 질문주신게 아닐까 싶습니다. 혹시 이 내용이 어떤 강의의 어떤 부분에서 보셨는지 말씀 한 번 부탁드려도 될까요? 저 내용만 봤을때 '크기=용량'처럼 이해가 되는데 제가 정확히 어떤 내용을 설명드리면서 저런 표현을 썼는지 맥락을 확인해봐야 정확한 답변을 드릴수 있을것 같습니다. (용어 설명 1편의 '이미징' 파트인거 같아서 확인해봤는데 그런 내용이 없어서 다른곳이었는지 싶어서요) 번거로우시겠지만 답변 한 번 부탁드리겠습니다 !
- 0
- 2
- 214
질문&답변
2024.02.16
안녕하세요 공부내용을 블로그에 정리하는 것과 관련하여 질문이 있습니다.
jeb the sheep 님 안녕하세요 :) 말씀하신 것처럼 공부하시면서 배운 내용을 다시 블로그에 정리하신다면 조금 더 효과적일거라 생각됩니다. 결론부터 말씀드리자면 '블로그에 정리하셔서 공개하셔도 괜찮습니다 !' 🙂 단 부탁드릴게 있는데 정리하시면서 아래의 2가지만 지켜주시면 감사하겠습니다. 반드시 출처를 표기해주세요! 본문 내용의 위치 어느곳이든 아래의 출처(링크주소) 표기 부탁드리겠습니다 ! https://inf.run/SRMh 강의자료의 내용을 직접적으로 올리진 말아주세요! 강의자료(PPT, PDF, 실습자료 등)는 수강생 분들만을 위한 자료이다보니 다운로드 받으신 모든 자료의 직접 업로드 또는 강의자료 내용을 캡처한 이미지 등은 직접적으로 올리진 말아주세요~ 강의자료에 있는 내용을 직접 실습하신 내용의 캡처 등은 무방합니다 ! 조건을 걸 정도로 대단한 내용은 아니지만, 적지 않은 수강료를 지불하고 수강해주신 수강생 분들이 피해보시는 일은 없어야 하기에 부탁드리겠습니다!
- 0
- 1
- 147