인프런 커뮤니티 질문&답변

꾸기님의 프로필 이미지
꾸기

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

[공통]FTK Imager

강사님 이미지 생성 시, Hash 값 첨부 질문드립니다!

해결된 질문

작성

·

203

0

  • 강사님 안녕하세요, 문제 풀이 중, 이제 증거 사본 생성 과정 등은 잘 작성하고 있는 중, 의문이 생겨서 질문드립니다!

  • 문제 사항 중, "증거사본 이미지를 첨부할 필요 없다"라는 구문이 확인 되어 .E01 이미지를 FTK Imager로 생성하지 않고, .raw(dd)를 바로 생성하였습니다.

  • 이 경우에 문제에서 증거 사본 이미지 생성 절차 등 관련 정보를 작성하는 중에 Hash 값을 작성해서 첨부를 하려는데 그냥 .raw(dd)이미지 생성 시, 산출된 logfile에 적힌 Hash(MD5, SHA1)의 CheckSum 값을 그대로 작성해서 기입해도 되나요?

  • 아니면, E01 이미지를 생성한 후, 해당 해시값을 첨부를 해야하나요? (과정 진행은 잘 하고있는데 해당 부분이 의문이 생겨서 문의 드립니다!)

답변 1

1

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 꾸기님!

사본이미지의 hash값은 이미지가 dd 인지 e01인지는 전혀 중요하지않습니다!

이미징할때 e01 or dd 를 선택하는것은 상황등에 따라 분석관의 선택일뿐, 반드시 e01을 먼저해야하거나 hash값은 반드시 e01으로 산출해야하는 것은 아닙니다.

마치 문서를 출력해야하는데 작성을 한글로 할것인지 MS워드로 할것인지 개인의 선택일뿐 최종적으로 출력물 동일한것과 비슷합니다.

 

제가 최초 이미징시에 e01으로 하시는것을 추천드리는것은 시험에서 이미징 파일을 제출하는경우 dd파일은 용량문제때문에 결국 e01으로 다시한번 이미징하는 불편함을 피하기 위해서입니다.

말씀하신것처럼 이미징파일을 제출하지않는 경우라면 오히려 dd파일로 이미징을 하는것이 파티션 복구를 해야하는경우등을 생각하면 오히려 더 나을수도 있습니다.

어디까지나 시험에 맞춰서 e01을 권해드리는것 뿐이니 상황에 맞게 선택하시면되며, 이미지제출을 하는경우라면 되도록 e01을 권해드립니다.

 

또한 보고서에 사본이미지 hash값을 기록할때, 이미지 형식이 dd인지 e01인지는 전혀 상관없습니다!

 

꾸기님의 프로필 이미지
꾸기
질문자

답변 감사합니다! 한주 마무리 잘해서 합격하도록 하겠습니다 :)

꾸기님의 프로필 이미지
꾸기

작성한 질문수

질문하기