소개
강의
전체1수강평
- 감사합니다 ^^
인공지능조한수
2023.11.29
1
- 디지털포렌식 개념과 방법에 대해서 잘 배웠습니다.
nothing-000
2023.11.23
1
게시글
질문&답변
2024.04.10
실기시험 Tool 사용 질문
안녕하세요 deepdive182님! 질문주신 순서대로 답변 드릴게요~ 1) 실기 시험중 Encase와 autopsy 동시 사용해야하는 경우가 있는지 물론 가능합니다만 현실적으로 그렇게 사용하실 일은 거의 없다고 생각됩니다. 2개의 분석 툴 중 한 곳에서는 분석이 안되는 내용이거나, 둘 다 분석이 가능한 내용이라고 해도 분석결과를 표현하는데 있어서 개인적으로 선호하는 분석 툴이 있기때문에 2개를 모두 사용하는 경우는 있을수 있습니다. 하지만 4시간이라는 시간제약과 툴 사용에 아직은 익숙하지 않은 점, 2개의 툴을 동시에 돌리기에는 전체적으로 속도가 느려지는 등의 여러 문제가 있기때문에 현실적으로는 그렇게 하기가 쉽지 않습니다. 만약 주로 사용하는 분석툴에서 분석이 불가능한 문제가 있고, 배점등이 높아서 반드시 해결을 해야한다면 다른 툴을 이용해서 해야겠지만, 각각의 툴 사용법과 전체적인 시험 분위기등에 익숙하지 않은 상황을 감안할때, 되도록 하나의 툴로 진행하시는 것을 추천드립니다 ! 2) Encase Fast Bloc SE 사용 후 종료시 쓰기방지 유지 여부 Encase Fast Bloc SE로 쓰기방지를 하신 후에 Encase를 종료하셔도 쓰기방지는 그대로 유지 됩니다 ! 다만 혹시라도 프로그램 에러 등 예상치 못한 문제로 인해 쓰기방지가 풀릴 가능성(물론 그렇지 않겠지만)도 생각을 해야 안전할것 같아서, 쓰기방지가 필요한 상황에서는 Encase를 종료하지 않고 유지하는것을 추천 드립니다. 2-1) 쓰기방지 설정 유지를 언제까지 해야하는지 쓰기방지는 증거인 원본 USB의 이미지 사본을 만드는 동안만 유지하시면 됩니다. 증거인 USB 매체를 받으신 후 > 쓰기방지 설정 > USB 연결 > 이미징 > 이미징 완료 후 USB 연결해제 쓰기방지 해제 의 순으로 생각하시면 될것 같아요. 쓰기방지를 해제 안하셔도 분석을 진행하는데는 문제는 없습니다. 시험이 끝날때 분석한 자료를 검정본부 에서 제공한 USB등에 복사해서 제출을 하셔야하는데, 쓰기방지를 해제 안한 상태에서 분석을 진행하시고 시험종료가 임박한 시점에서 급하게 USB에 복사를 하시려고 하면 쓰기방지가 걸려있어서(더 심한 경우는 Fastbloc SE에서 Protected가 아닌 Blocked로 설정하신 경우 복사가 된 것처럼 보입니다!) 당황스러울수 있습니다. 차분히 생각해보면 '아, 쓰기방지 해제해야지'라고 생각하실 수 있는데, 마음이 급하다보니 생각이 안날 수도 있거든요. 그래서 이미징 작업 등이 완료가 되고, 증거 USB 원본을 더이상 연결할 이유가 없다면, USB 연결 해제하신다음에 쓰기방지도 함께 해제하시는게 당황할 수 있는 상황을 만들지 않을것 같습니다. 다만 이미징한 파일에 문제가 있거나, 처음에는 e01으로 이미징 했지만 dd 파일로 다시 이미징 해야하는 등 증거 USB를 다시 연결해야하는 상황이라면 잊지 마시고 꼭 쓰기방지 설정을 다시 해주셔야합니다 !
- 0
- 2
- 119
질문&답변
2024.03.31
이미징 사본 생성할때 문의드립니다.
안녕하세요 deepdive182님! 증거 USB의 이미징 사본을 생성할때는 [USB를 통으로] 이미징 합니다! 증거USB를 증거로 사용하고자 분석을 위해 사본을 생성할때는 [복제 또는 이미징] 하는 방법으로 생성을 하게되는데요 복제 : 증거 USB를 원본으로 하고 복제하고자하는 사본용 USB를 직접 연결해서 기기>기기 형태로 복사가 아닌 복제를 하게 되며 이미징 : 증거 USB를 이미징 장치(또는 컴퓨터에 연결후에 이미징 프로그램이용)에 연결한 뒤 증거 USB안에 있는 모든 내용을 하나의 파일(이미지파일)로 저장하게 됩니다. 강의에서 말씀드린것처럼 복사와 복제는 다른 개념으로 이해를 해주셔야하며, 디지털 포렌식의 증거 수집과정의 시작인 복제는, 우리가 일상에서 윈도우즈 탐색기 등을 이용해서 복사 붙여넣기 형태로 USB안에 있는 몇몇 파일들을 옮기는 형태가 아닌(이건 복사!), 해당 파일들의 속성 정보까지(파일이 저장되어있던 섹터 번호 등) 다 가져오는 복제의 형태로 하셔야합니다. (물론 복사한 파일은 무조건 증거능력이 없다라고 할 수는 없지만, 시작하시는 지금 단계에서는 우선은 복제만 가능하다! 라고 생각하시면 조금 덜 헷갈리실것 같아요) 이렇듯 증거 USB를 복제하기 위해서는, USB to USB나, 이미징 사본 파일 2가지의 방법이 있는데 시험에서는 사실상 이미징만 가능하므로 이를 이미징 하기 위해서는 1) 이미징 작업을 하려는 컴퓨터에서 먼저 쓰기방지 적용 2) 증거 USB의 연결 3) 이미징 프로그램을 실행하여(예: FTK Imager) 이미지 생성 기능 시작 4) 이미징하려는 원본 증거 USB 매체의 선택(USB안의 특정 파일을 선택하는 것이 아닌 USB 자체를 선택합니다!) 5) 사본으로 만들어질 이미징 파일의 파일명과 저장위치 등의 옵션 설정 후 이미지 생성 이런 순서대로 진행하시면 됩니다! 다시 한번 말씀드리지만 절대로! 절대로! 증거 USB안에 있는 파일을 복사해서 분석 컴퓨터에 붙여넣은 다음, 그 파일들로 이미징 작업을 하는게 아닌, 증거 USB가 연결된 상태에서 해당 USB 자체를 원본으로 잡고 이미징 작업을 한다는 점 꼭 기억해주세요~ :)
- 0
- 1
- 140
질문&답변
2024.03.20
HxD로 분석한 것과 FTK-imager에서 보여주는 총 섹터 수가 서로 다를 수 있나요?
안녕하세요 Jeb the sheep님! HxD를 이용해서 확인한 FAT32 의 BR 분석은 말씀하신대로, 총섹터의 수가 1,966,048이 맞습니다. 하지만 FTK imager에서 확인한 섹터수가 32개가 더 많은 1,966,080개로 안맞아서 당황스러우실텐데요. FTK Imager에서 확인하신 섹터의 수 는 HxD의 FAT32 BR분석에서 확인한 [볼륨의 섹터수]가 아니라 [이미지의 전체 섹터수] 입니다 ! 이미지의 전체 섹터수 안에 FAT32 볼륨의 섹터수가 포함이 되겠죠. (사진) 위 스크린샷을 보시면, 0번섹터인 FAT32의 BR을 복구한 뒤의 모습입니다. FAT32의 Total sector32 항목을 계산해보면 E0 FF 1D 00 > 00 1D FF E0 으로 10진수로 1,966,048 이지만 우측 상단의 섹터 이동 바에서 이 이미지의 총 섹터수는 1,966,080임을 확인할 수 있죠? 다시 얘기하면 이 이미지는 총 1,966,080 개의 섹터로 구성이 되어있는데 그 중에서 FAT32 볼륨의 섹터가 1,966,048개를 차지하고 있다는 의미입니다. (사진)위 스크린샷은 동일한 이미지파일을 FTK Imager에서 확인한 내용인데, Evidence Tree에서 최상단의 이미지 파일명이 선택된 상태면, 왼쪽 하단의 Properties에 [Disk]정보를 확인할 수 있습니다. 이곳은 볼륨이 아닌 디스크(이미지)에 대한 정보로 위에서 설명드린것처럼 이 이미지 안의 전체 섹터수를 확인하는 부분입니다. 헷갈리기 쉬운부분이라서 반드시 Disk에 대한 정보인지 볼륨에 대한 정보인지를 확인해주셔야해요~ 참고로 이미 섹터당 용량을 알고 있기때문에(512bytes) 이미지 파일의 전체 섹터수를 단순 계산으로도 확인할 수는 있는데, 이미지 파일의 총 용량(디스크 할당 크기가 아닌 실제 용량)이 1,006,632,960 Bytes이므로 1,006,632,960 / 512 = 1,966,080 = 총 섹터수 이렇게도 확인할 수 있으니 참고해주세요~ (사진) 제가 올려드린 자료가 아니여도 전혀 문제없으니 궁금하신 부분이 있다면 언제든지 올려주시면 확인후에 답변 드릴게요~!
- 0
- 1
- 98
질문&답변
2024.03.11
Ence 프로그램 관련
안녕하세요 김영일님! Encase 라이선스 Encase는 상용프로그램으로 별도의 라이선스가 있는 경우에만 사용이 가능합니다. 이 라이선스 인증 방법으로는 크게 동글방식(USB)과 네트워크 인증 방식이 있어서 개인이거나 기관, 기업에서 구매방식에 따라서 인증방식이 조금씩 다릅니다. 말씀하신것처럼 동글이 없다면, 네트워크 인증방식의 인증키와 서버정보가 있지 않는이상 Encase를 정상적으로 사용하실수가 없습니다. 시험장에서의 Encase 지원여부 현재까지의 시험에서는 버전의 차이는 있었지만 Encase를 지원해왔었고, 인증방식은 시험회차마다 조금씩 차이가 있던것으로 알고 있습니다(동글 or 네트워크 인증). 물론 개인 동글을 소유한 분들은 그 버전에 맞는 encase를 프로그램사용 사전 신청을 통해서 사용하시는 분들도 계셨던것 같고요. 시험장에서 네트워크 인증 방식으로 제공을 하는 경우에는 수험자가 각자 네트워크 인증 세팅까지 해야하는 경우도 있었습니다. 현재까지는 Encase를 시험장에서 기본 제공하였지만 , 이부분은 시험때마다 조금씩 달라지는 부분이 있기때문에(지원여부 및 지원시 인증방식) 반드시 한국포렌식학회에서 시험 전에 제공하는 디지털포렌식 프로그램을 꼭 확인하셔서 준비하시는것을 권장드립니다 ! 디지털포렌식 분석 프로그램의 선택 커리큘럼상 이제 Encase 프로그램 강의에 들어가신다고 말씀해주셨는데, 시험준비하시면서 Encase 프로그램 사용이 가능하시다는 말씀이신거죠? 계속해서 Encase 프로그램을 이용하여 시험 준비가 가능하시다면 괜찮지만, 혹시라도 Encase 사용이 불가능하시거나, 부분적으로(예를 들어 1주일에 하루정도 등 사용이 제한적)만 사용이 가능하시다면 강의소개에서도 안내드린것처럼 커리큘럼상 [Encase]로 되어있는 강의들은 보지마시고 [Autopsy] 강의 봐주세요. 앞서 말씀드린것처럼 Encase는 상용프로그램이고 기업이나 교육기관등에서 라이선스를 보유하여 접근가능하신 경우에만 사실상 쓸수 있기때문에, 그렇지 못한 환경이시라면 사실상 공부하실수가 없습니다 강의영상만을 보고 시험을 보실수가 없기때문에 계속 사용가능한 프로그램을 선택해주세요! (노파심에 말씀드렸습니다 🙂 )
- 0
- 1
- 100
질문&답변
2024.03.07
NTFS 백업본과 관련하여 질문이 있습니다.
안녕하세요 jeb the sheep님! NTFS BR의 백업본이 처음에 공부하시기에는 많이 헷갈리시죠? 우선 아시다시피, NTFS BR의 백업본은 [ 해당 파티션의 마지막 섹터 ]에 위치하게 됩니다. 여기에서 [해당 파티션의 마지막 섹터]라는게 정말 중요 한데 헷갈리기도 쉬운 부분이거든요. FAT의 경우 [무조건 BR의 6번째 뒤 섹터 ]라고 명확한데 NTFS는 그렇지가 않으니까요. 말씀하신 MFT의 경우 해당 파티션의 데이터 영역 어느곳에도 존재할수가 있습니다. 우선은 MFT의 저장위치와 BR의 백업 섹터의 위치는 상관이 없다라고 생각해주세요! 중요한건 NTFS 파티션의 총 섹터수 가 중요하다라고 생각을 해주세요. 우리가 알고 있듯이 NTFS 파티션의 BR 백업은 해당 파티션의 마지막 섹터에 우치합니다. 예를 들어서, 하나는 1GB, 다른 하나는 2GB의 용량을 가진 2개의 USB가 있고, 각각의 섹터수는 100개/200개라고 가정을 해볼게요.(물론 단일파티션이고, 파일시스템은 NTFS라고 가정) 1번 USB = 1GB = 섹터수 100 / 2번 USB = 2GB = 섹터수 200 이런 경우, 우리가 배웠던대로 아주 단순하게 생각하면 1번 USB의 BR = 0번섹터 / BR의 백업섹터 = 99번 섹터 2번 USB의 BR = 0번섹터 / BR의 백업섹터 = 199번 섹터 이렇게 되겠죠? 그렇게 되면 너무 좋은데, 문제가 있습니다 ㅜ_ㅜ 1) 단일 파티션이 아닌경우 하나의 저장장치(HDD, SSD, USB 등)에 여러개로 파티셔닝 된 경우 - 만약 USB 하나가 있고, 이 기기의 총 섹터수가 총 100개라고 가정해볼게요(용량은 신경쓰지마세요~) 첫번째 파티션이 NTFS이고, 이 파티션이 사용하는 섹터는 0번~30번 두번째 파티션이 FAT32이고, 이 파티션이 사용하는 섹터는 31번~60번 세번째 파티션이 FAT32이고, 이 파티션이 사용하는 섹터는 61~99번 이럴 경우에 MBR등은 다 무시한다고 하면 첫번째 파티션의 BR은 0번에 있고, BR의 백업섹터는 30번에 있을겁니다. 다만 이 USB를 이미징해서 HxD로 봤을때는 섹터순서대로 나오니까 위의 파티션 순서대로 쭉 나올거예요 그런 상황에서 HxD에서 마지막 섹터로 가서 보면 첫번째 파티션의 BR 백업을 찾을수가 없겠죠? 위의 예시대로라면 HxD에서 확인한 마지막 섹터는 세번째 파티션의 마지막 섹터 니까요. 두번째 파티션도 한번 볼까요? 두번째 파티션은 FAT32이고, BR은 해당 파티션의 가장 첫번째 섹터니까 BR=31번섹터이고, BR의 백업섹터는 [무조건 BR기준 뒤로 6번째 섹터]니까 37번 섹터겠죠? FAT32의 백업섹터를 찾는건 아주 쉽습니다. 해당 FAT32의 파티션 BR이 있는곳만 찾으면 자동으로 찾아지니까요. 위 첫번째 NTFS의 경우처럼 'NTFS의 BR 백업은 마지막에 있다고 했어' 라는 말은 HxD에서 봤을때 마지막 섹터를 의미하는것이 아닌 해당 파티션의 마지막 섹터를 의미 합니다. 그걸 정확히 알기 위해서는, 파티션의 첫번째 섹터인 BR의 위치만 알면 다 해결되던 FAT32와 달리 NTFS에서는 해당 파티션의 시작(BR)섹터와 함께 추가로 해당 파티션의 총 섹터수도 알아야 백업섹터를 구할수가 있습니다. (BR의 섹터 + 총 섹터수 - 1 = [해당 파티션의] 마지막섹터 !) 여기까지 이해되실까요? 이해를 돕기 위해서 굳이 한 번 더 억지로 예를 들자면 Chapter1 ~ Chapter5 까지로 나눠져있는 교과서가 있는데, 중간고사 시험범위를 [Chapter 1 '마지막'까지] 라고 공지를 했는데 '마지막'만 생각이 나서 Chapter 5의 끝부분만 공부하는 경우 ! 예가 너무 억지일까요? -_-; 아무튼 마지막은 마지막인데 어느곳의 마지막인지를 정확히 구분 을 하셔야해요 2) 단일파티션인 경우 1)에서는 다중파티션일 경우를 설명드렸어요. 저것만 보면 "그래 파티션 여러개니 그럴수있지 이해됐어, 그런데 단일 파티션은 무조건 끝에 있어야하는거 아니야?" 라고 생각하실수 있습니다. 그런데! 저장장치 1개의 파티션이 하나만 있다고해도 해당 파티션의 마지막섹터가 저장매체의 총 섹터중 마지막 섹터와 같은 말은 아닙니다 ! 조금 다른 얘기긴한데 굳이 예를 들어보면 우리가 USB든 HDD든 저장장치를 구입해서 사용하려면 그 전체용량을 다 사용할수가 없죠? 예를 들어 16GB USB라고 해서 샀는데, 우리가 실제로 저장공간으로 사용할수 있는 공간은 16GB보다 작습니다. 15GB든 14GB든 어쨌든 16GB가 아니죠 ? 어떤 파티션이든 파일시스템이 필요할테고 그 파일 시스템의 구성요소들이 기본적으로 담겨있을 공간이 필요하다보니 그 부분은 제외하고 나머지 공간을 우리가 쓰기때문에 16GB 다 사용할수 없다라고 가볍게 생각하시면 되는데 이런 점과 비슷하게 생각해볼때, 여기에서 중요한건 [ 하나의 파티션이라해도 그 저장장치의 전체를 다 사용하는건 아니다 ] 라는 점이예요. 이걸 다시 표현해보면 16GB USB가 1개 있고, 이 기기의 총 섹터수가 100개이며, 파티션은 NTFS 단일 파티션이라고 가정해보겠습니다. 그렇다면 BR이 있는 섹터는 0번섹터 이고, 백업은 파티션의 마지막이라고 했는데 단일파티션이니 당연히 99번섹터가 마지막이라 생각할수가 있겠죠.(MBR등 모두 무시한다고 가정) 그런데 위에 [하나의 파티션이라해도 그 저장장치의 전체를 다 사용하는건 아니다]라는 말을 적용해보면 단일 파티션인 NTFS 파티션은 총 100개의 섹터중 0번~94번 정도만 사용할 한다는 뜻입니다. 그렇다면 95~99번 섹터가 남아있는데 여긴 할당받지 못한 비할당영역이거나, 뭔가 다른 용도가 있다는거겠죠. 그렇다면 NTFS파티션은 0번~94번섹터이니, 쉽게 보면 BR은 0번이고 BR백업은 94번이겠죠? 이렇게 접근을 해주셔야해요. 파티션이 하나밖에 없다고해도 HxD에서 맨 마지막에 있는 섹터가 해당 파티션이 아닐수 있거든요. 그래서 결.론.은. NTFS 파티션의 BR 백업 섹터는 마지막 섹터에 존재한다. 단 그 마지막이 전체의 마지막이 아니다 ! 반드시 백업섹터의 위치를 알고자하는 해당 파티션의 BR섹터와 총섹터수를 알아야 정확하게 찾을수 있다! 수강생 여러분들이 질문을 주시면 항상 필요 이상으로 답변이 길어지는걸 많이 느끼면서 원인이 뭘까 생각을 해봤는데, 아마 제가 설명을 잘 못해서인것 같습니다; 간략하지만 이해가 한 번에 될 수 있게 글을 쓸 수 있으면 좋을텐데 그렇지 못한거 같아서 죄송합니다 ㅜ_ㅜ 혹시 이해가 잘 안되시면 얼마든지 더 질문주세요! 이해 되실때까지 설명해드리겠습니다 !
- 0
- 1
- 70