59강 실습 파일 문의

안녕하세요 인프롱님!해당 영상의 첨부파일을 다운로드 받아서 확인해봤는데 정상적으로 열리는 점을 확인했습니다(사진) 이렇게 나와야 정상인데, 파일을 hxd로 열었을때 이와 동일하게 나오시는지 궁금합니다. 그리고 만약 위의 스샷과 동일하게 열린다면, 검색시에 어떤 순서로 검색을 하셨는지 말씀해주실수 있을까요?그 말씀을 들어야 제가 도움을 드릴수 있을것 같습니다~답변 부탁드릴게요~

현장 강의나 스터디 운영 요청드립니다.

안녕하세요 윤호진님!말씀에서 고민의 깊이가 느껴지는 글을 써주신것 같아요.결론부터 말씀을 드리면, 정말 죄송하게도 현재 오프라인 강의나 스터디그룹 운영에 대한 계획은 없습니다.이게 여러가지로 어려움이 있는데,강의 영상이나 공지등을 통해서 몇번 언급한적이 있지만, 현재 제가 하는 일은 디지털 포렌식과는 전혀 관련이 없는 일을 하고 있다보니 시간을 내기가 어려운 면이 제일 크기도 하고디지털 포렌식 시험 준비라는게 오프라인 강의 한 두번으로 해결될수 있는 성격도 아니기도 하고 그렇게 진행을 한다고 하더라도 정말 겉햝기 식으로 밖에 될수가 없다보니 그 오프라인 강의에 참석하기 위해서 시간을 들여 참석해주신 분들에게도 큰 도움이 되지 않을거라는 생각때문입니다.또한 그렇게 어렵게 참석해주신 분들에게 그에 걸맞게 값어치 있는 시간이 되실수 있도록 준비를 해야할텐데 그런 준비시간을 내기에는 저로서도 어려움이 있거든요 ㅜ_ㅜ(그리고 제가 오프라인 강의를 할 정도의 실력이 안되는게 가장 큰 이유일겁니다 ㅎㅎ)스터디 그룹도 비슷한 이유로 제가 주관해서 진행하기에는 어려움이 있는게 사실입니다. 말씀의 의도는 이해되고 또 많이 공감이 되지만, 개인적으로 어려움이 너무 많기에 원하시는 답을 드리지 못해서 죄송하다는 말씀을 드립니다.다만 , 스터디 그룹의 경우 원하시는 분들을 연결해 드리는데 도움을 드릴수는 있을것 같습니다.그 방법에 대해서 따로 생각해본적은 없는데, 지금 단순하게 드는 생각들을 말씀을 드리면이 시험의 특성상 자주 만나서 진행을 해야하고, 그러다보면 같은 권역에 사시는 분들끼리 진행을 하시는게 현실적일거라 생각됩니다.그런데 거주하시는 지역에서 스터디를 희망하는 다른 분이 계신지를 알수가 없으니 시작이 어려울거라 생각이 되어서, 공지사항 등을 통해서 스터디 참여 희망하시는 분들이 어느정도인지 확인을 하고, 같은 권역(또는 원하시는 권역으로)의 희망자분들을 연결해드리는 일은 제가 어느정도는 도움을 드릴수 있을것 같습니다.물론 스터디그룹을 위한 별도의 게시판이 없는 상황이다보니 스터디를 만드시려는 분들이이 곳 질문 게시판등을 이용해서 모집을 하실수도 있겠지만, 혹시라도 개인정보가 직접적으로 노출되는 점이 걱정되시거나, 직접적으로 추진하기에는 부담이신 분들도 계실수 있을텐데스터디를 희망하지만 그런 이유로 망설여지시는 분들이 조금이라도 부담을 덜 수 있게 저에게 스터디 참여 희망 여부를 알려주시면 매칭을 해드리는 일은 도와드릴수 있을것 같습니다.저도 지금 떠오르는 생각들을 정리없이 말씀드리는거라서 어떻게 하면 제일 좋을지에 대해서는 의견도 듣고, 더 고민을 해보긴해야겠지만 어쨌든 이런 형태의 도움을 조금이라도 드릴수 있을것 같으니 며칠내로 공지등의 방법으로 관련 내용에 대해서 의견수렴을 하는 시간을 갖도록 하겠습니다! 수강생 여러분들의 합격을 위해서 다양한 방법으로 지원을 해드리고 싶은 마음은 정말 크지만,제 개인적인 여러 상황들때문에 현실적인 제약이 많아서 죄송한 마음 뿐입니다. 며칠내로 관련된 내용 공지로 올리도록 하겠습니다!

백업 파일 관련

안녕하세요 ys_lab님!네. 맞습니다. 말씀하신것처럼일반적으로 파일이 새로 저장이 되고 백업파일이 생성되는 경우에는 기존 파일명은 그대로 유지하고 확장자가 .bak 이라는 형태로 변하는 편입니다.영상에서도 말씀드렸듯이, 지난 25회 시험에서 어떤 형태로 은닉을 했는지 등에 대한 자세한 정보가 확인이 되지 않기때문에 이런 방법으로 은닉했지 않을까 하는 어디까지나 제 개인적인 추측을 반영한 내용이었습니다. 이해하신것처럼 수정 후 저장을 했고, 그래서 수정전 기존 파일은 .bak으로 저장이 됐지만, 이를 은닉하기 위해서 파일명도 고의로 수정을 한 형태입니다. 이렇게 파일명도 변경을 하고, 저장 위치도 기존과 다른 곳으로 옮기는 경우에는 쉽게 찾을수가 없게 되는데, 이럴 경우에는 NTFS LOG 분석을 통해서 파일명의 변경과 파일의 이동을 확인하는 방법이 있고, 파일용량이 동일하다는 가정하에 검색해서 나오는 파일들을 확인해보는 방법이 있습니다.다만 파일 용량의 경우에는 수정 전 파일인 bak 파일과 수정 후의 파일의 용량이 다를수가 있습니다.연습문제에서는 바이트 단위로 일부만을 다른 값으로 채워넣는 방법으로 변경을 했기때문에 용량이 같을수는 있지만, 만약에 특정 부분을 아예 잘라내는 형식으로 삭제를 한 경우에는 용량의 차이가 있을수 있기때문에 이부분도 참고해서 봐주세요~

GPT의 Protective MBR 관련하여 여쭤봅니다!

안녕하세요 k.y.j.06님!죄송하다는 말씀을 먼저 드립니다!해당 강의영상 업로드 후에 말씀하신 부분에 대해서 추가로 설명해드려야할 부분이 있는것을 인지하고 수정을 해야겠다고 생각했었는데 깜빡하고 지금까지 수정을 못했습니다 ㅜ_ㅜ말씀하신대로 'Size in Sector'를 알수 있는 마지막 4bytes는, 총 섹터수를 의미하게 되는데GPT 파티션에서는 약간 다릅니다.영상에서는 FF FF FF FF 로 고정이 된다고 말씀을 드렸는데,이 부분은 해당 디스크의 용량에 따라 차이가 있습니다. 디스크의 용량이 2TB 이상인 경우에는 FF FF FF FF 로 고정이 되고디스크의 용량이 2TB 미만인 경우에는 디스크의 총 섹터수 로 기록이 됩니다k.y.j.06 님이 말씀하신 예시의 경우처럼 약 953GB의 디스크라면 2TB 미만이므로실제 총 섹터수가 나오는게 맞습니다 ! 혼란을 드려서 정말 죄송하다는 말씀을 드리며, 해당 영상은 빠른 시일내에 수정하도록 하겠습니다.잘못된 부분 말씀해주셔서 감사합니다 !

섹션 8. 디지털포렌식툴 - autopsy 사용법 듣고 있습니다

안녕하세요 limitpig님![섹션8. 디지털 포렌식툴 사용법] - [Autopsy]Autopsy2 강의를 보고 말씀해주시는게 맞을까요?[Autopsy]Autopsy1 , [Autopsy]Autopsy2 강의영상에서 실습자료로 사용한 파일은[Autopsy]Autopsy1에 함께 올려드린 forensictool.e01 파일이 맞습니다. 혹시 보셨던 화면이 해당 영상의 0:2:48경에 나오는 화면의 pt 자료상의 'encase_partition_break'를 말씀하시는걸까요?해당 PT에서 사용한 스크린샷은 어디까지나 pt상에서 설명을 위해서 가져온 다른 이미지 분석과정중캡쳐한 화면으로 해당 강의에서 실습하는 내용은 올려드린 파일을 이용해서 실습을 해주시고말씀하신 그 화면은 어디까지나 참고로만 봐주시면 될것 같습니다 !

이미징 방법(기초)

안녕하세요 bug5003님!1. 제공되는 전자정보 형태- 시험장에서 제공하는 사건의 증거는 2가지로 나눠볼수 있습니다.1) 증거 USB 원본을 제공하는 경우- 시나리오상 수사관이 사건 현장에서 USB를 발견했고, 그렇게 수집한 USB를 제공하는경우로 가정예) A경찰청 사이버범죄수사대 소속 B 경위는 현장의 책상 서랍에서 USB 1개를 발견해서 수집했다- 이 경우 제공된 USB는 증거 원본이므로 사본을 만들어서 분석을 진행해야하는데쓰기방지가 설정된 상태에서 USB를 연결하고 이미징을 진행해서 사본 이미지를 생성해야합니다.- 과거에는 시나리오상 이렇게 원본을 발견하고 그 USB를 수험자에게 제공하는 형태로시험이 진행됐었으나, 최근에는 이렇게 원본이 아닌 사본을 제공하는 형태로 바꼈습니다.2) 사본을 제공하는 경우- 시나리오상 수사관이 사건 현장에서 PC,노트북,USB등을 발견하고 해당 부분에 대해서 이미징의방식으로 수집을 했는데, 그렇게 생성한 이미지 파일은 사본이고, 그 사본 파일이 담긴 USB를제공하는 경우.예) A 경찰청 사이버범죄수사대 B경위는 현장에서 노트북을 발견하고 (중략) 이미징하여 수사관의USB에 저장하였다. >> 원본이 아닌 사본 이미지 파일!- 이렇게 사본이미지 파일이 저장된 USB를 수험자에게 제공하며, 이는 사본이기때문에별도의 쓰기방지나 추가 이미징 작업이 필요없기때문에 USB를 연결후 해당 이미지 파일을 복사해서 분석용 노트북에 저장!- 최근에는 위와 같은 방법으로 증거 파일을 제공하고 있습니다. 다시 말해서 쓰기방지 및 이미징 과정이 생략이 되겠죠!- 이러한 증거파일의 제공 방법은 언제든지 변경이 될 수 있으므로 반드시 시나리오를 꼼꼼히 읽으셔서 증거원본 USB를 제공하는지, 아니면 이미징한 사본을 제공하는지를 파악하셔서 그에 맞게 진행을 해주세요~2. 증거 USB 원본이 제공된 경우 진행과정-시나리오상 증거 USB 원본을 제공한것으로 된 경우에는 아래 절차를 꼭 지켜주세요1) 쓰기방지 설정 : Encase Fastbloc SE 또는 레지스트리 설정으로 쓰기방지 설정2) USB 연결3) FTK Imager 등의 이미징 프로그램으로 이미징- FTK Imager의 경우 이미징 하기 > Physical > 해당 USB 선택 > 이미징 > hash 값 확인- 최초 이미징한 파일은 우선 보관을 해주세요 > 문제나 시험관련 지시사항에 이미징한 파일을 제출하라고 한 경우 : 최초 이미징한 e01파일을 제출> 이미지 파일 제출에 대한 별도의 언급이 없다면 제출 안하셔도 됩니다.(답안제출용 USB의 용량이 이미지 파일을 담기에는 작거나, 빠듯할수 있습니다~)> 만약 파티션 복구 등이 필요한 경우 최초 이미징한 파일을 복사해서 이미징 파일의 사본으로파티션 복구 및 분석을 진행 해주세요. 3. 파티션 복구1) 이미징한 파일을 FTK Imager등으로 불러와서 확인- 말씀하신것처럼 FTK Imager등으로 불러와서 확인했을때 볼륨에 정상 접근이 되는지 확인하고만약 Unrecognized 등으로 표시가 된다면 파티션 복구가 필요합니다.2) DD파일로 재이미징- 최초 이미징시 E01으로 이미징 하셨다면, 파티션 복구시에는 반드시 DD(raw)파일이 필요하므로다시 이미징을 해줘야합니다.- DD 이미징시에 두가지 방법이 있는데① 원본 USB를 연결해서 DD로 이미징- 처음 이미징할때와 동일하게 쓰기방지설정 > FTK Imager > physical > 이미징포맷을 DD로② E01 이미지 파일이 있는 경우 - FTK Imager > Image file(Physical이 아닌 이미지 파일을 원본 소스로 선택) > 이미징 포맷을 DD로※ 질문에 말씀하신 로지컬-DD파일 의 순서가 아닙니다! E01을 원본 소스로 재이미징하실때는 로지컬이 아닌 Image File을 선택해주세요 !3) Hxd로 파티션 복구- 재이미징하여 저장된 dd 파일을 hxd로 불러와서 복구진행! 4. 기타 질문에 대한 답변1) e01 파일을 첨부터 주는경우는 따로 별도로 위에 처럼 피지컬로 새로 이미징 할 필요없이바로 FTK Imager 열어서 확인하면 되는건가요? 시작할때 쓰기방지 작업은 필요없는지?> 네 맞습니다! 시나리오상 사본 이미지 파일을 제공하는 경우라면,제공된 USB에서 이미지 파일을 분석용 노트북에 복사해서 가져오시면 되며,쓰기방지, 이미징의 작업이 생략된다고 생각해주세요.5. 정리1) 시나리오 확인 - 시나리오상 증거 USB 원본을 주는지, 아니면 사본 이미지 파일을 주는지 확인2) 증거 USB 원본을 제공하는 경우① 쓰기방지설정② USB 연결③ 이미징- FTK Imager 실행 > 이미지 생성(Create Image) > 원본소스선택(Physical)>이미지 포맷선택(E01) > 이미징 진행 > 해시값 확인④ 생성한 이미지의 확인(파티션 복구여부)- FTK Imager로 방금 생성한 이미지 파일 불러온 뒤, 모든 볼륨이 정상적으로 접근이 가능한지 확인- Unrecognized 등 접근 불가한 볼륨이 있는 경우 파티션 복구 필요⑤ 파티션 복구를 위한 재이미징(파티션 복구가 필요없는 경우 생략)- FTK Imager 실행 > 이미지 생성 > 원본소스선택(Image file / 이미 생성한 e01을 원본으로 ~)>이미지 포맷선택(DD) > 이미징 진행 > 해시값 확인 X※ 우리에게 중요한 hash값은 최초 이미징한 e01파일의 해시값입니다! 재이미징한 파일의 해시값은신경안쓰셔도 됩니다!⑥ 생성한 dd 이미지파일을 hxd로 불러와서 파티션 복구 진행⑦ 복구가 정상적으로 완료됐는지 FTK Imager에서 확인⑧ 파티션이 복구됐다면 이미지 파일을 autopsy등으로 분석 시작 3) 사본 이미지파일을 제공하는 경우- 증거원본을 제공하는 경우의 ①~③ 생략 / 이후 단계 동일.④ 제공된 USB 연결 > 이미지 파일 복사해서 분석용 노트북에 붙여넣기⑤ 생성한 이미지의 확인(파티션 복구여부)- FTK Imager로 방금 생성한 이미지 파일 불러온 뒤, 모든 볼륨이 정상적으로 접근이 가능한지 확인- Unrecognized 등 접근 불가한 볼륨이 있는 경우 파티션 복구 필요⑥ 파티션 복구를 위한 재이미징(파티션 복구가 필요없는 경우 생략)- FTK Imager 실행 > 이미지 생성 > 원본소스선택(Image file / 이미 생성한 e01을 원본으로 ~)>이미지 포맷선택(DD) > 이미징 진행 > 해시값 확인 X※ 우리에게 중요한 hash값은 최초 이미징한 e01파일의 해시값입니다! 재이미징한 파일의 해시값은신경안쓰셔도 됩니다!⑦ 생성한 dd 이미지파일을 hxd로 불러와서 파티션 복구 진행⑧ 복구가 정상적으로 완료됐는지 FTK Imager에서 확인⑨ 파티션이 복구됐다면 이미지 파일을 autopsy등으로 분석 시작

보고서 작성 관련 질문 드립니다.

안녕하세요 sinbon님~!답안작성시에 각 문제별로 보고서 파일을 따로 저장하는 방법과 보고서는 하나의 파일로 작성하는 방법이 있습니다.다만 궁금하신점에 대한 정답은 따로 있지는 않습니다만 별다른 문제가 없다면 보고서는 1개의 파일로 만드셔도 무방할것 같습니다.예를 들어서 보고서.hwp 라는 파일을 만든후에 그 안에 1번 문제 : ~2번 문제 : ~3번 문제 : ~이런식으로 이어서 작성하시면 될것 같습니다. 앞에서 정답은 없다고 말씀드린 이유는 과거에 보고서 파일을 문제별로 각각 만들어서 제출하라는 경우도 있었고, 반대로 하나의 파일로 만들어서 제출하라는 경우도 있었으며, 그 외에는 보고서 파일 제출방법에 대해서 언급하지 않았던 적도 많기때문에 정답이 따로 있진 않습니다. 그렇기 때문에 시험 유의사항 등의 지침에 따라서 별도의 언급이 있다면 그에 맞춰서 해주시고그렇지 않다면 일반적인 경우로 생각하고 1개의 보고서 파일에 여러 문제들을 한 번에 정리하시면 될 것 같습니다 !

Autopsy관련 질문입니다.

안녕하세요 mire95s님!Autopsy에서 분석을 추가로 진행하려고 하시는 경우 아래 순서대로 진행해주세요.1) 메뉴의 [Tools]-[Run Ingest Modules]-[이미지파일명 예)forensictool.e01] 클릭(사진)2) 팝업된 Run Ingest Modules 창에서 추가로 분석하고자 하는 모듈 선택아래 스샷에서 삼각형으로 노란색 느낌표 이미지는 이미 분석이 완료된 모듈입니다.추가로 분석하고자하는 모듈만 선택한 뒤 우측 하단의 Finish 버튼을 클릭해주시면 추가 분석이 진행이 됩니다 ~(사진)

시험 관련 질문

안녕하세요 liku님!순서대로 답변 드릴게요~ 1. 제공되는 프로그램의 설치 시험 도구들로 제공되는 프로그램의 설치 파일은 편하신곳에 저장하시고, 설치도 설치시 기본으로 잡혀있는 루트에 설치하셔도 괜찮습니다. 참고로 최근 시험에서는, 제공되는 노트북의 저장공간이 SSD 단일 볼륨으로 제공되는것으로 확인되고 있어서( 볼륨이 C: 1개만 있는것으로 확인되고 있습니다) 사실상 선택의 여지가 없긴 합니다 2. 보고서, 증거파일의 저장 해당 강의 영상에서 말씀드린 내용은 과거에 윈도우즈 오류 등으로 리부팅을 해야하는 경우 간혹 노트북의 관리를 위해서 자동복구가 설정되어있는경우 C:에 저장된 모든 것들이 복구시점으로 롤백되는 가능성이 있을 수 있기때문에 안내를 드렸습니다 다만 위에서 말씀드렸듯이 최근에는 단일 볼륨으로 제공이 되기때문에 증거파일들을 저장할 다른 볼륨이 존재하지 않아서 이 역시 선택의 여지 없이 c:에 편하신곳(바탕화면 등)에 보고서 및 추출파일을 저장하셨다가 마지막 제출시에 복사해서 usb에 담으시면 될 것 같습니다 3. 해시값 특정 파일의 해시값을 기재하실때는 MD5와 SHA1 등 산출된 여러 Hash 중 하나를 선택하셔서 기재하시면 됩니다! 다만 해당 문제나, 전체 지침에서 특정 Hash로 기재하라고 되어있는 경우에만 그에 따라서 써주시면 되고, 그런 경우를 제외하면 편하신대로 선택하시면 되며 보고서 작성시 되도록 한번 사용했던 hash로 (처음에 Sha1을 사용하셨다면 계속 Sha1 값으로 통일) 통일해서 작성해주시는것을 권해드립니다. MD5와 Sha1를 번갈아 가며 사용해도 문제가 있는건 아니고 단지 통일성때문에 권해드릴뿐입니다 :)

24회 시험 chatgpt의 설치 삭제 시간 관련 질문 있습니다

안녕하세요 KMS님!순서대로 답변 드릴게요~1. 24회 시험에서 이미지 생성에 사용된 AI 프로그램 확인- 리뷰영상에서 말씀드렸듯이 확인된 내용은 Chatgpt와 Perplexity의 흔적입니다.그외에 생성된 이미지에 대한 정확한 정보나, 기타 설치됐던 ai생성 서비스의 정보가 확인이 안된상태이다보니어디까지나 추정을 통해서 Chatgpt라고 가정을 한 경우라고 생각해주세요.그렇게 추정한 이유는 아무래도 퍼플렉시티보다는 chatgpt의 흔적이 조금 더 남아있는 것으로 보여지고, 시험이라는 특성상 수험자에게 조금이라도 힌트를 주려는 의도도 있지 않을까 하는 생각에 퍼플렉시티보다는 상대적으로 더 알려져있는 Chatgpt일 가능성을 높게 보고 가정한 경우입니다!-참고로 생성된 이미지 파일을 hxd로 열어봤을때 문자열에 흔적이 남아있을 가능성도 있습니다.24회시험에서는 생성된 이미지 파일에 대한 정보가 전무하여 제가 확인을 할수는 없었으나,다만 제가 가능성이라고 말씀을 드리는이유는, 어떤 경우에 어떤 흔적이 남는지 아직 확실히 정리되지 않아서 어디까지나 참고수준으로만 보시는것을 권해드리는데, 예를 들면 아래와 같습니다.1) ChatGPT로 생성한 이미지 파일(사진)2) google nano banana로 생성한 이미지 파일(사진) 위의 스샷에서 보시는것처럼, 생성툴에 대한 정보를 확인할 수 있는 경우가 있으니 참고만해주세요. 2. 프로그램의 설치시간 등의 정보 확인시 우선순위- 이부분은 여러 변수가 많아서 단정적으로 말씀드리기는 어렵습니다만정말 시간이 부족한 경우에는 이벤트 로그나 NTFS LOG를 추출해서 의심이 가는 키워드로(예:chatgpt) 검색해서 확인하시고 그 내용만이라도 써주세요. 레지스트리는 하나하나 찾아가는것도 쉽지 않고, 무엇보다 프로그램에 따라서, 삭제전후상황에 따라서 레지스트리 기록 위치와, 기록이 남아있는지 등이 달라지기때문에 하나만 봐야한다면 레지스트리 보다는 이벤트 로그나 NTFS 로그를 검색해서 보시는것을 추천드립니다. 3. 말씀하신 상황별 시간 확인 방법은 대체적으로 맞습니다.다만 위 2. 질문 해주신것처럼 교차검증을 하기에는 시간이 부족하다고 생각되시는 경우에는설치/삭제 - 이벤트 로그 하나만 키워드로 검색해서 확인마지막 실행시간 - 프리패치정도로 하나만 확인하시는게 좋을것 같아요.4. 레지스트리, 이벤트 로그 확인 방법- 현실적으로... 이부분은 자꾸 해보시는방법밖에 없을것 같아요. 레지스트리의 경우 해당 키의 위치를 결국에는 외우는 수밖에 없는데 이렇게 하기가 너무 어려운경우이벤트 로그나 ntfs log 에서도 확인이 되는경우라면 그 방법으로라도 확인을 해주세요.특히 이벤트 로그는 주요 이벤트 ID의 의미를 알고 계시다면 찾는게 훨씬 쉬워집니다.다만 그렇게 하지 못하는 경우라도 해당 프로그램의 정보(예:실행파일명 등)를 바탕을 검색을 해보시면그렇게 어렵지 않게 확인이 되시지 않을까 싶습니다. 5. FAT#1 복구 관련 문제가 나오지 않는 이유- 이부분은 결국에는 출제자의 의도와 관련된 부분이다보니 제가 말씀드리기가 어렵습니다.다만 2급 시험이라는 점을 생각해봤을때, VBR복구가 FAT#1복구보다는 더 기본이기때문에그런게 아닐까 하는 추측만 할뿐이며, 시험이 회차를 거듭할수록 조금씩 깊게 들어간다는 점을생각해봤을때 언젠가는 그런 문제가 출제될 가능성도 완전히 배제하지는 못할것 같습니다.6. 판례 강의관련- 제가 올려드리는 판례 관련 영상은, 말씀해주신 학회에서 발간한 실기 교재에 나온 판례와 디지털 포렌식 중요판례 등을 다룬 다른 서적 등을 전반적으로 고려해서 케이스별로, 중요도별로 제 나름의 우선순위를 정해서 올려드리고 있습니다.