시나리오4 vmdk 불러오기 실패

강사님께서 알려주신방법 외에도 FTK imager에서 "이미지 마운팅"기능을 활용한방법도 이용할수있는데, 학습에 도움되실까싶어서 관련 스샷 첨부해드립니다! 24회 시험 준비중이시라면 남은시간 잘 준비하셔서 좋은결과받으셨으면 좋겠습니다저도 실기시험 준비중인데 화이팅해요 :) >>방법요약 1. FTK imager프로그램에서 vmdk파일을 이미지 마운팅Autopsy에서 select data source type 을 local disk 선택( 주의사항: autopsy실행시 "관리자권한으로 실행" 필수 ) 3.마운팅 되어있던 디스크중에서 basic data partition 이라고 뜨던 디스크선택( 또는 윈도우 설치 등 주요데이터 저장된 것으로 보이는 디스크 선택) ->autopsy 모듈선택 등 분석시작 >>방법상세 (스샷첨부)FTK imager에서 이미지마운팅(사진)위의 image mounting 클릭후 나오는 창에서, 파랑색 원으로 표시한 곳 클릭(사진)(vmdk파일 선택해주면됩니다) 3.노랑색원으로표시한, mount버튼 클릭(사진)마운트된 후 나타나는 "포맷여부관련" 취소 클릭!!!(사진)Basic data partition이라고 보이는 곳에 "드라이브 문자" 확인 ( 스샷에는 H: 로 되어있으나, 실습PC에서 다른문자를 부여할 수있기때문에 확인필수)(사진)(위에 노랑형광펜 표시 해둔곳 처럼 보이는지점 을보면 되고, 드라이브문자 확인.스샷에서는 H: 라고 부여받았음) 이제, 마운팅된 드라이브 중에서 basic data partition을 autopsy프로그램에서 분석하도록 합니다(사진)(위와같이, Select Data Source Type 화면나올때 "Local Disk"를 선택) 그다음 나오는 창에서, 우측상단의 select disk 클릭(사진) basic data partition에 해당하는 드라이브선택 (제 기준으로는 H: 였기 때문에 H:를 선택했습니다) (사진)(이어서, OK버튼 클릭) 선택이 완료되었으면, 아래쪽에 Next클릭했을때 익숙한 화면(분석모듈선택 화면)이 나옵니다. 분석을진행하시면됩니다!(사진)9.정상적으로 분석이 진행됨을 볼수있습니다.(사진) *분석프로그램 버전1) FTK imager 4.7.1.22) Autopsy 4.21.0 *실습할때 사용한 운영체제(OS)버전 Win 10

이번 실기 Autopsy 분석 소요 시간

23회에 처음으로 실기시험 응시했던교육생입니다! 저도Autopsy이용했는데시험관련 자주 얘기나오는부분(Autopsy가상대적으로 시간분배할때 어려운것같다는후기)으로 생각되는데 같은회차 시험경험자로공감이 되네요ㅠ 저는 모듈관련 설정할때, "최소한의 분석이가능한 시점에대한 기준"을 정하기위해서강사님께서 알려주신 모듈항목들에대해분석기(Autopsy모듈)돌릴때 개인적으로단계를 2단계로 구분하여 진행하는 편인데도움이 되실지 모르겠지만 공유해드리는것도괜찮겠다싶어서 글 남기게되었어요ㅎ.. ###########################1단계(최초 분석관련)-시간이 가장오래걸리는 2개를 제외한 모듈들분석기 돌리는 과정(시간 오래걸리는 모듈2개 :Hash lookup / keyword search)-강사님께서 알려주시는 모듈개수가encryption 모듈 을 포함해서 약9개 라면,7개에대해서 분석기를 돌리는셈이고 이때완료까지 걸리는 소요시간은 보통 30분이내인것으로 기억합니다 (cpu 10세대i5,메모리16GB 기준) #2단계 (세부분석단계)-hash lookup , keyword search 모듈2개에대해서 추가적으로 분석실행-이때 keyword search는 항상시간이 오래걸려서, 분석대상 이미징파일에운영체제(windows)가 있을경우를 기준하여1시간~길면 2시간까지 걸리는편 으로기억합니다##########################이렇게 모듈 분석기 돌릴때 개인적으로 구분한이후로는, 1단계에해당되는 모듈에대한분석이 완료된 시점에 최초분석을 하면되서언제까지 기다려야되는지에대한걱정을 조금이나마 덜어낼수있었습니다(강사님께서도 keyword search모듈은일단 제외한상태로 최초분석 하는 사례에대해언급해주신적이 있던것으로 기억합니다) 나머지 2개모듈(keyword search 등 2개) 은1단계-최초분석단계- 진행할때 모듈실행해두는 방식이라서, 증거를 탐색 하고있다보면어느새 keyword search까지 모든모듈이분석완료되어있어서 개인적으로마인드컨트롤하는데에 도움이 되더라구요! 남은주말 편안한하루 되셨으면좋겠습니다이번시험에 응시하시느라 고생많으셨습니다ㅠ