인프런 커뮤니티 질문&답변
작성한 질문수
이미징 관련
해결된 질문
작성
·
98
0
안녕하세요, 이미지 관련해서 좀 헷갈리는 부분이 있어 질문 남깁니다.
최근 시험에서는 실제 증거인 원본 USB를 제공하지 않고,증거 원본을 이미징한 사본 이미지 파일을 담은 (단순 저장용) USB를 제공하는 것 같습니다.
이럴 경우 쓰기 방지를 하고 create disk image에서 physical을 선택 하여 imaging을 하는 과정은 필요하지 않고 바로 FTK Imager로 해당 이미지 파일을 열어서 구조를 확인해보는 방향으로 하는 것이 맞을까요?
그런데 또 강사님 22회 시험 리뷰1 강의를 보면 (43분 58초) 해당 usb에 대하여 쓰기 방지 절차 진행 후 usb연결 후 이미징을 뜨라고
하셔서 이 부분이 좀 헷갈리네요.. 좋은 강의 항상 감사합니다!
답변 2
1
안녕하세요 ys_lab님!
우선 결론부터 말씀드리면 ys_lab님이 말씀하신게 맞습니다 !
최근 시험에서는 증거 원본 USB를 제공하지 않고,
시나리오상 수사관이 증거를 수집해서 파일(사본)을 제공하고 있습니다.
그렇다보니 예전처럼 증거 USB를 쓰기방지 후 직접 이미징하는 과정이 생략이 되어버린 상황입니다.
말씀하신것처럼 우리에게 제공되는 USB가 증거 원본(용의자가 사용했던 USB)이 아니라
그러한 증거 원본을 시나리오상에서 수사관이 수집해서 이미징한 파일이거나(e01, dd등)
또는 수집한 가상머신(.vmdk등) 파일을 단순히 USB에 저장하여 준 경우라면
별도의 이미징 작업이 필요없고, 그렇기 때문에 쓰기방지를 할 필요도 없습니다!
그런 경우라면 그냥 노트북에 연결해서 일반적인 데이터 저장 USB 다루듯이 USB안에 있는
파일만 복사해서 가져오면 됩니다.(또는 복사없이 FTK Imager로 USB안에 있는 파일을 직접 불러오는 방법도 있겠죠)
22회시험 리뷰1 영상에서 보신 내용은,
(상황을 모르는 다른분들을 위해서 잠깐 설명을 붙일게요~)
수사관이 용의자의 PC를 이미징하면서 그 이미지 파일을 수사관의 USB에 저장한 경우인데,
그렇다면 이 수사관의 USB는 증거는 아닙니다. 증거를 담고 있는 저장매체일뿐이죠.
그렇기 때문에 굳이 쓰기 방지등의 과정을 거치지 않아도 됩니다.!
다만 제가 쓰기방지를 말씀드린 이유는 USB를 연결한다면 [습관적으로] 쓰기방지를 하자는 의도였습니다.
이제 시작하셔서 이 모든 것에 익숙치 않은 분들이 많은데, 지금 USB를 연결해야하는 이 상황은 쓰기방지를 해야하나? 라는 고민 때문에 시간을 낭비할 수도 있거든요.
그래서 [USB연결=쓰기방지]를 당연히 떠올리실수 있도록 말씀드렸던 것이니 크게 신경 안쓰셔도 괜찮습니다!
참고로 실제 시험장에서 위와 같은 형태로 이미징한 파일이 USB에 담겨서 제공됐을경우,
되도록 USB에 담겨있는 이미지 파일은 노트북으로 복사해서 사용하시는것을 권해드립니다.
제일 신경쓰이는건 속도 문제인데요, USB가 3.0을 지원하는지, 노트북의 USB포트가 3.0을 지원하는지가 문제거든요.
어느 한 쪽이3.0을 지원하더라도 다른 한쪽이 아닌 경우, USB에서 이미지 파일을 직접 불러와 분석을 돌렸을때, 안그래도 부족한 시간을 더 부족하게 하는 원인이 될 수도 있을 것 같아서 말씀드렸습니다!
(물론 노트북 용량 문제가 있다면 어쩔수가 없긴 합니다;)
1
안녕하세요, 인프런 AI 인턴입니다. ys_ lab님, 귀하의 질문에 대한 답변을 제공하기 위해 몇 가지 유사한 질문과 답변을 살펴보았습니다.
첫째, 최근 시험에서 증거 원본이 아닌 이미지를 담은 USB를 제공받는 경우에 대해 설명드리겠습니다. 강의 내용과 시험 리뷰에서는 두 가지 상황에 대해 언급하고 있음을 확인할 수 있습니다.
이미징 파일 자체가 제공되는 경우에는 별도의 쓰기 방지 조치나 이미징 프로세스를 수행할 필요 없이, 직접 FTK Imager나 Autopsy를 통해 주어진 사본 이미지 파일을 열어 분석을 시작할 수 있습니다. 이 경우, 주어진 파일 자체가 이미 이미징 된 상태이기 때문에, 추가적인 이미징 작업이 필요하지 않습니다.
원본 USB나 물리적인 디스크가 제공되는 경우에는 쓰기 방지 절차를 수행한 후, 이미징을 통해 E01 또는 DD 파일 포맷으로 이미징하는 과정을 거쳐야 합니다. 이후 이 이미지를 사용해 구조 분석을 진행합니다.
따라서 최근의 시험 경향대로라면, 단순 저장용 USB에 담긴 이미징 파일을 직접 분석 프로그램에 불러와서 분석하는 방법으로 진행하시면 됩니다. 하지만 강의에서 설명하듯 시험의 형태가 달라질 수 있으므로 시나리오에 맞게 접근 방법을 조정하시는 것이 좋습니다.
보다 자세한 내용을 원하시면 22회 실기 관련 문의 답변을 참고하십시오. 이 답변에서는 실제 시험에서 받은 USB가 어떤 형태인지 어떻게 대응하는지에 대한 여러 사례를 다룬 내용을 포함하고 있습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.