소개
강의
전체1수강평
- 감사합니다 ^^
인공지능조한수
2023.11.29
1
- 디지털포렌식 개념과 방법에 대해서 잘 배웠습니다.
nothing-000
2023.11.23
1
게시글
질문&답변
2024.05.20
[시나리오1] 복구한 raw image 관련 문의
안녕하세요 deepdive182님! 먼저, 이미징한 파일을 제출할 경우에는 증거 USB를 최초로 이미징한 e01 파일만 답안 폴더에 저장해서 제출하시면 됩니다. 말씀하신 각각의 파티션을 복구한 후의 이미징 파일은 제출하지 않습니다! 다만 제출여부와 방법에 대해서는 최근 시험때마다 조금씩 다르기때문에 시험 당일, 시험장에서 안내하는 내용대로 진행을 해주셔야합니다. 최근에는 이미징 파일을 제출을 하지 않기도 하고, 또 처음부터 이미징할 증거 USB 자체를 주지 않는 경우도 있었기때문입니다. 처음 증거를 줄 때부터 '증거 USB'로 수집한 원본 USB를 주는것이 아닌, 수집한 사본인 이미징 파일을 제공하기때문에 쓰기방지, 이미징 과정 등이 모두 생략되기도 했거든요. 이렇게 시험때마다 이미지 파일의 제출여부 및 처음부터 증거 원본을 받아서 이미징하는 과정을 거쳐야하는지 여부도 달라지고 있기때문에, 반드시 시험장에서 안내받은 내용을 정확히 이해하시고 진행하시면 될것 같습니다. 간단정리 1. '증거 사본을 생성하라' > 증거원본인 USB가 제공되었을 경우. 쓰기방지>이미징(e01) - 증거 사본을 제출하라 한 경우, 최초 e01으로 생성한(파티션이 깨진 경우 깨져있는 그대로의 이미지파일) 이미지 파일을 제출 - 파티션 복구 등을 거친 추가적인 이미지 파일은 제출 X 2. '경찰청 ~~~가 ~~증거를 이미징 하였다~' > 이미징 파일(증거 사본)이 제공되었을 경우 > 바로 분석 간단히 정리를 했지만 이 역시 시험장에서 안내에 따라서 조금씩 달라질수 있으므로 반드시 안내를 정확히 확인후에 그에 맞게 진행해주세요~
- 0
- 2
- 45
질문&답변
2024.04.10
실기시험 Tool 사용 질문
안녕하세요 deepdive182님! 질문주신 순서대로 답변 드릴게요~ 1) 실기 시험중 Encase와 autopsy 동시 사용해야하는 경우가 있는지 물론 가능합니다만 현실적으로 그렇게 사용하실 일은 거의 없다고 생각됩니다. 2개의 분석 툴 중 한 곳에서는 분석이 안되는 내용이거나, 둘 다 분석이 가능한 내용이라고 해도 분석결과를 표현하는데 있어서 개인적으로 선호하는 분석 툴이 있기때문에 2개를 모두 사용하는 경우는 있을수 있습니다. 하지만 4시간이라는 시간제약과 툴 사용에 아직은 익숙하지 않은 점, 2개의 툴을 동시에 돌리기에는 전체적으로 속도가 느려지는 등의 여러 문제가 있기때문에 현실적으로는 그렇게 하기가 쉽지 않습니다. 만약 주로 사용하는 분석툴에서 분석이 불가능한 문제가 있고, 배점등이 높아서 반드시 해결을 해야한다면 다른 툴을 이용해서 해야겠지만, 각각의 툴 사용법과 전체적인 시험 분위기등에 익숙하지 않은 상황을 감안할때, 되도록 하나의 툴로 진행하시는 것을 추천드립니다 ! 2) Encase Fast Bloc SE 사용 후 종료시 쓰기방지 유지 여부 Encase Fast Bloc SE로 쓰기방지를 하신 후에 Encase를 종료하셔도 쓰기방지는 그대로 유지 됩니다 ! 다만 혹시라도 프로그램 에러 등 예상치 못한 문제로 인해 쓰기방지가 풀릴 가능성(물론 그렇지 않겠지만)도 생각을 해야 안전할것 같아서, 쓰기방지가 필요한 상황에서는 Encase를 종료하지 않고 유지하는것을 추천 드립니다. 2-1) 쓰기방지 설정 유지를 언제까지 해야하는지 쓰기방지는 증거인 원본 USB의 이미지 사본을 만드는 동안만 유지하시면 됩니다. 증거인 USB 매체를 받으신 후 > 쓰기방지 설정 > USB 연결 > 이미징 > 이미징 완료 후 USB 연결해제 쓰기방지 해제 의 순으로 생각하시면 될것 같아요. 쓰기방지를 해제 안하셔도 분석을 진행하는데는 문제는 없습니다. 시험이 끝날때 분석한 자료를 검정본부 에서 제공한 USB등에 복사해서 제출을 하셔야하는데, 쓰기방지를 해제 안한 상태에서 분석을 진행하시고 시험종료가 임박한 시점에서 급하게 USB에 복사를 하시려고 하면 쓰기방지가 걸려있어서(더 심한 경우는 Fastbloc SE에서 Protected가 아닌 Blocked로 설정하신 경우 복사가 된 것처럼 보입니다!) 당황스러울수 있습니다. 차분히 생각해보면 '아, 쓰기방지 해제해야지'라고 생각하실 수 있는데, 마음이 급하다보니 생각이 안날 수도 있거든요. 그래서 이미징 작업 등이 완료가 되고, 증거 USB 원본을 더이상 연결할 이유가 없다면, USB 연결 해제하신다음에 쓰기방지도 함께 해제하시는게 당황할 수 있는 상황을 만들지 않을것 같습니다. 다만 이미징한 파일에 문제가 있거나, 처음에는 e01으로 이미징 했지만 dd 파일로 다시 이미징 해야하는 등 증거 USB를 다시 연결해야하는 상황이라면 잊지 마시고 꼭 쓰기방지 설정을 다시 해주셔야합니다 !
- 0
- 2
- 144
질문&답변
2024.03.31
이미징 사본 생성할때 문의드립니다.
안녕하세요 deepdive182님! 증거 USB의 이미징 사본을 생성할때는 [USB를 통으로] 이미징 합니다! 증거USB를 증거로 사용하고자 분석을 위해 사본을 생성할때는 [복제 또는 이미징] 하는 방법으로 생성을 하게되는데요 복제 : 증거 USB를 원본으로 하고 복제하고자하는 사본용 USB를 직접 연결해서 기기>기기 형태로 복사가 아닌 복제를 하게 되며 이미징 : 증거 USB를 이미징 장치(또는 컴퓨터에 연결후에 이미징 프로그램이용)에 연결한 뒤 증거 USB안에 있는 모든 내용을 하나의 파일(이미지파일)로 저장하게 됩니다. 강의에서 말씀드린것처럼 복사와 복제는 다른 개념으로 이해를 해주셔야하며, 디지털 포렌식의 증거 수집과정의 시작인 복제는, 우리가 일상에서 윈도우즈 탐색기 등을 이용해서 복사 붙여넣기 형태로 USB안에 있는 몇몇 파일들을 옮기는 형태가 아닌(이건 복사!), 해당 파일들의 속성 정보까지(파일이 저장되어있던 섹터 번호 등) 다 가져오는 복제의 형태로 하셔야합니다. (물론 복사한 파일은 무조건 증거능력이 없다라고 할 수는 없지만, 시작하시는 지금 단계에서는 우선은 복제만 가능하다! 라고 생각하시면 조금 덜 헷갈리실것 같아요) 이렇듯 증거 USB를 복제하기 위해서는, USB to USB나, 이미징 사본 파일 2가지의 방법이 있는데 시험에서는 사실상 이미징만 가능하므로 이를 이미징 하기 위해서는 1) 이미징 작업을 하려는 컴퓨터에서 먼저 쓰기방지 적용 2) 증거 USB의 연결 3) 이미징 프로그램을 실행하여(예: FTK Imager) 이미지 생성 기능 시작 4) 이미징하려는 원본 증거 USB 매체의 선택(USB안의 특정 파일을 선택하는 것이 아닌 USB 자체를 선택합니다!) 5) 사본으로 만들어질 이미징 파일의 파일명과 저장위치 등의 옵션 설정 후 이미지 생성 이런 순서대로 진행하시면 됩니다! 다시 한번 말씀드리지만 절대로! 절대로! 증거 USB안에 있는 파일을 복사해서 분석 컴퓨터에 붙여넣은 다음, 그 파일들로 이미징 작업을 하는게 아닌, 증거 USB가 연결된 상태에서 해당 USB 자체를 원본으로 잡고 이미징 작업을 한다는 점 꼭 기억해주세요~ :)
- 0
- 1
- 151
질문&답변
2024.03.20
HxD로 분석한 것과 FTK-imager에서 보여주는 총 섹터 수가 서로 다를 수 있나요?
안녕하세요 Jeb the sheep님! HxD를 이용해서 확인한 FAT32 의 BR 분석은 말씀하신대로, 총섹터의 수가 1,966,048이 맞습니다. 하지만 FTK imager에서 확인한 섹터수가 32개가 더 많은 1,966,080개로 안맞아서 당황스러우실텐데요. FTK Imager에서 확인하신 섹터의 수 는 HxD의 FAT32 BR분석에서 확인한 [볼륨의 섹터수]가 아니라 [이미지의 전체 섹터수] 입니다 ! 이미지의 전체 섹터수 안에 FAT32 볼륨의 섹터수가 포함이 되겠죠. (사진) 위 스크린샷을 보시면, 0번섹터인 FAT32의 BR을 복구한 뒤의 모습입니다. FAT32의 Total sector32 항목을 계산해보면 E0 FF 1D 00 > 00 1D FF E0 으로 10진수로 1,966,048 이지만 우측 상단의 섹터 이동 바에서 이 이미지의 총 섹터수는 1,966,080임을 확인할 수 있죠? 다시 얘기하면 이 이미지는 총 1,966,080 개의 섹터로 구성이 되어있는데 그 중에서 FAT32 볼륨의 섹터가 1,966,048개를 차지하고 있다는 의미입니다. (사진)위 스크린샷은 동일한 이미지파일을 FTK Imager에서 확인한 내용인데, Evidence Tree에서 최상단의 이미지 파일명이 선택된 상태면, 왼쪽 하단의 Properties에 [Disk]정보를 확인할 수 있습니다. 이곳은 볼륨이 아닌 디스크(이미지)에 대한 정보로 위에서 설명드린것처럼 이 이미지 안의 전체 섹터수를 확인하는 부분입니다. 헷갈리기 쉬운부분이라서 반드시 Disk에 대한 정보인지 볼륨에 대한 정보인지를 확인해주셔야해요~ 참고로 이미 섹터당 용량을 알고 있기때문에(512bytes) 이미지 파일의 전체 섹터수를 단순 계산으로도 확인할 수는 있는데, 이미지 파일의 총 용량(디스크 할당 크기가 아닌 실제 용량)이 1,006,632,960 Bytes이므로 1,006,632,960 / 512 = 1,966,080 = 총 섹터수 이렇게도 확인할 수 있으니 참고해주세요~ (사진) 제가 올려드린 자료가 아니여도 전혀 문제없으니 궁금하신 부분이 있다면 언제든지 올려주시면 확인후에 답변 드릴게요~!
- 0
- 1
- 111
질문&답변
2024.03.11
Ence 프로그램 관련
안녕하세요 김영일님! Encase 라이선스 Encase는 상용프로그램으로 별도의 라이선스가 있는 경우에만 사용이 가능합니다. 이 라이선스 인증 방법으로는 크게 동글방식(USB)과 네트워크 인증 방식이 있어서 개인이거나 기관, 기업에서 구매방식에 따라서 인증방식이 조금씩 다릅니다. 말씀하신것처럼 동글이 없다면, 네트워크 인증방식의 인증키와 서버정보가 있지 않는이상 Encase를 정상적으로 사용하실수가 없습니다. 시험장에서의 Encase 지원여부 현재까지의 시험에서는 버전의 차이는 있었지만 Encase를 지원해왔었고, 인증방식은 시험회차마다 조금씩 차이가 있던것으로 알고 있습니다(동글 or 네트워크 인증). 물론 개인 동글을 소유한 분들은 그 버전에 맞는 encase를 프로그램사용 사전 신청을 통해서 사용하시는 분들도 계셨던것 같고요. 시험장에서 네트워크 인증 방식으로 제공을 하는 경우에는 수험자가 각자 네트워크 인증 세팅까지 해야하는 경우도 있었습니다. 현재까지는 Encase를 시험장에서 기본 제공하였지만 , 이부분은 시험때마다 조금씩 달라지는 부분이 있기때문에(지원여부 및 지원시 인증방식) 반드시 한국포렌식학회에서 시험 전에 제공하는 디지털포렌식 프로그램을 꼭 확인하셔서 준비하시는것을 권장드립니다 ! 디지털포렌식 분석 프로그램의 선택 커리큘럼상 이제 Encase 프로그램 강의에 들어가신다고 말씀해주셨는데, 시험준비하시면서 Encase 프로그램 사용이 가능하시다는 말씀이신거죠? 계속해서 Encase 프로그램을 이용하여 시험 준비가 가능하시다면 괜찮지만, 혹시라도 Encase 사용이 불가능하시거나, 부분적으로(예를 들어 1주일에 하루정도 등 사용이 제한적)만 사용이 가능하시다면 강의소개에서도 안내드린것처럼 커리큘럼상 [Encase]로 되어있는 강의들은 보지마시고 [Autopsy] 강의 봐주세요. 앞서 말씀드린것처럼 Encase는 상용프로그램이고 기업이나 교육기관등에서 라이선스를 보유하여 접근가능하신 경우에만 사실상 쓸수 있기때문에, 그렇지 못한 환경이시라면 사실상 공부하실수가 없습니다 강의영상만을 보고 시험을 보실수가 없기때문에 계속 사용가능한 프로그램을 선택해주세요! (노파심에 말씀드렸습니다 🙂 )
- 0
- 1
- 109