인프런 커뮤니티 질문&답변

안녕하세요 deepdive182 님!

실습 시나리오2번 관련 질문 올려주신것을 며칠전에 봤는데, 이제야 시간이 나서 답변을 드리려고 보니 해당 질문을 삭제하셨더라고요.

아마 질문주신 내용이 이해가 되셔서 그럴거라 생각되는데, 혹시 몰라서 질문주셨던 내용을 기억나는대로 답변드리겠습니다.

(개인적으로 연락드릴수 있는 방법(쪽지 등)이 없는것 같아서 직전에 질문주신 이곳에 답변 드리는 점 양해부탁드립니다~)

우선 질문주신 부분에 대해서 먼저 설명을 드릴게요

시나리오 2번의 실습자료로 제공해드린 파일은 나보석의usb.e01 / 나보석의usb.001 이렇게 2개 입니다.

해당 실습문제의 의도에 맞게(USB를 발견하였고, 분석자가 수집한 증거 USB 원본을 가지고 분석진행) 진행을 한다면 이미지 파일을 드리는게 아니라 증거 USB를 드리고, 그 증거 USB를 직접 이미징 해야하지만,

온라인 강의의 특성상 USB를 직접 드릴수 없기때문에 증거 USB를 사본으로 이미징 한 '나보석의usb.e01'을 올려드렸으며, 해당 USB는 파티션이 훼손되어있기때문에 이를 복구 하기 위해서는 DD(.001) 파일이 필요한데, 이 역시 증거 원본 USB를 다시 DD로 이미징한 후에 진행을 해야합니다.

하지만 역시나 원본 USB를 드릴수가 없기때문에 이 부분 역시 .001 파일로 이미징한 파일을 추가로 올려드린게 '나보석의usb.001' 파일입니다.

그러므로 '나보석의usb.e01' 파일은 증거 원본 USB를 최초로 이미징한 사본 파일이며,

이렇게 생성한 사본을 확인해보니 파티션 복구가 필요해서 다시 증거원본 USB를 DD로 이미징한 파일이 '나보석의usb.001'이므로 이렇게 이미지 파일(사본)을 직접 받은 경우에는 이미 사본 생성이 완료가 되어있어서 이미징을 할 필요가 없습니다.

질문 주셨던 내용이 정확하게는 기억이 나질 않아서 궁금해하셨던 부분이 해결이 되셨을지 모르겠습니다.

그래서 다시 한번 정리를 해드리면,

■ 이미징(사본생성)을 해야하나요?

- 시험장에서 제공하는 시나리오를 정확히 보고 판단을 해야합니다.

1) 시나리오에서 해당 증거를 수집 한 후에 분석을 위해서 'USB 원본'을 제공한 경우 : 사본 생성 O

예) '경위 OO는 용의자의 책상 서랍에서 USB 1개를 발견하여 수집한 후, 포렌식 랩의 분석가인 수험자에게

분석을 요청하였다(후략)

> 시험장에서 제공한 USB 자체가 현장에서 수집한 '증거 원본'이므로, 쓰기방지를 한 후에 usb를 연결해서 이에 대한 사본을 이미지로 생성(최초 E01).

분석은 이렇게 생성한 e01 파일을 가지고(증거 원본 USB는 연결 해제) 진행하며, 파티션 복구 등 필요한 경우 다시 001(DD) 파일로 이미지를 생성하여 진행.

2) 시나리오에서 이미 생성한 사본 파일을 제공한 경우 : 사본 생성 X

예) + 용의자 OOO의 사무실에서 용의자 OOO의 책상에 있던 노트북을 발견했고, ㅁㅁ 경위는 해당 노트북의 '사본을 생성' 하였다.

> 시험장에서 USB를 제공하지만, 이 경우 USB는 단순히 증거파일들을 담고 있는 역할만 하므로 USB자체는 증거와 아무런 상관이 없으며,

이 USB안에 들어있는 이미지파일(e01, 001, vmdk 등)을 가지고 바로 분석(쓰기방지 및 이미징 작업 불필요)

* 다만 위의 설명은 어디까지나 기본적인 접근법을 말씀드린것으로, 상황에 따라 달라질수 있습니다.

반드시 시나리오와 시험장에서 제공한 안내문, 감독관의 설명을 정확히 들으셔서 시험장에서 제공한 USB가 증거 원본인지, 아니면 증거 사본을 담아 전달하는 용도의 일반적인 USB(USB자체는 증거 X)인지를 판단하신 후에 진행을 하셔야 합니다.

이 부분이 처음에는 가장 헷갈리기도하고, 또 말로만 풀기에는 쉽게 이해가 되지 않을 수 있습니다.

이해가 안되신다면 꼭 다시 질문 주시면 그에 맞게 더 설명 해드리겠습니다 :)

안녕하세요 deepdive182님!

먼저, 이미징한 파일을 제출할 경우에는 증거 USB를 최초로 이미징한 e01 파일만 답안 폴더에 저장해서 제출하시면 됩니다.

말씀하신 각각의 파티션을 복구한 후의 이미징 파일은 제출하지 않습니다!

다만 제출여부와 방법에 대해서는 최근 시험때마다 조금씩 다르기때문에
시험 당일, 시험장에서 안내하는 내용대로 진행을 해주셔야합니다.

최근에는 이미징 파일을 제출을 하지 않기도 하고, 또 처음부터 이미징할 증거 USB 자체를 주지 않는 경우도
있었기때문입니다.

처음 증거를 줄 때부터 '증거 USB'로 수집한 원본 USB를 주는것이 아닌,
수집한 사본인 이미징 파일을 제공하기때문에 쓰기방지, 이미징 과정 등이 모두 생략되기도 했거든요.

이렇게 시험때마다 이미지 파일의 제출여부 및 처음부터 증거 원본을 받아서 이미징하는 과정을 거쳐야하는지 여부도 달라지고 있기때문에, 반드시 시험장에서 안내받은 내용을 정확히 이해하시고 진행하시면 될것 같습니다.

• 간단정리

1. '증거 사본을 생성하라' > 증거원본인 USB가 제공되었을 경우. 쓰기방지>이미징(e01)
- 증거 사본을 제출하라 한 경우, 최초 e01으로 생성한(파티션이 깨진 경우 깨져있는 그대로의 이미지파일)
이미지 파일을 제출
- 파티션 복구 등을 거친 추가적인 이미지 파일은 제출 X

2. '경찰청 ~~~가 ~~증거를 이미징 하였다~' > 이미징 파일(증거 사본)이 제공되었을 경우 > 바로 분석

간단히 정리를 했지만 이 역시 시험장에서 안내에 따라서 조금씩 달라질수 있으므로 반드시 안내를 정확히 확인후에 그에 맞게 진행해주세요~

안녕하세요, 인프런 AI 인턴입니다.

deepdive182님의 질문은 디지털 포렌식 과정에서 이미지 캡처 방식과 제출해야 할 자료의 종류에 대한 정보를 필요로 합니다. 특히, E01 파일 포맷으로 한 이미지 캡처 후 파티션 복구 과정에서 생성된 추가 이미지 파일(DD, 001 형식)의 제출 요건에 대해 질문하셨습니다.

제공된 정보를 기반으로, 질문에 가장 잘 부합하는 답변 내용은 다음과 같습니다:

“DD파일 생성 문의”에서는 강의 수강생이 E01 파일에서 DD 파일을 생성하는 과정에 대한 가능성과 그 절차의 정확성을 문의했습니다. 강사님은 E01 이미지 상태에서 추가적으로 DD 파일을 생성하는 것이 가능하며, 이미 생성된 E01 파일을 원본으로 사용하여 DD 파일로 이미징하는 것에 대해 긍정적인 답변을 제공했습니다.

이 정보를 근거로, 디지털 포렌식 과정에서 초기에 생성된 E01 파일로부터 파티션 복구를 위해 DD(raw) 파일을 생성하는 것이 가능하며, 이후의 절차에 대해서도 설명하고 있어, 귀하의 질문과 관련이 있는 부분을 포함합니다.

결론적으로, 귀하의 질문인 최초 E01으로 생성한 사본 이미지만 제출해야 하는지, 아니면 파티션 복구 후 생성된 001 파일도 제출해야 하는지에 대한 직접적인 대답으로는, 해당 강의와 시험의 구체적인 요구 사항에 따라 다를 수 있으며, 이는 시험 지침이나 강사님의 추가 지시를 확인해야 할 수 있습니다. 다만, 이미징 과정에서의 옵션과 각 파일 포맷(E01, DD)의 사용 가능성에 대해서는 “DD파일 생성 문의”에서 언급된 내용이 도움이 될 수 있습니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.