인프런 커뮤니티 질문&답변

안녕하세요 정선아 님!

질문주신 순서대로 답변 드릴게요~

1. 섹션 8-Autopsy 1 영상에 첨부되어있는 수업자료(forensictool.e01)를 말씀하시는거죠?

   
   저도 업로드한지 조금 오래됐다보니 해당 파일을 Autopsy에서 직접 분석을 돌려봤습니다.
   우선 강의영상에서 나온것처럼 분석모듈선택은
   1) Recent Activity
   2) Hash Lookup
   3) File type Identification
   4) Extension Mismatch Detector
   5) Embedded File Extractor
   6) Picture Analyzer
   7) Keyword Search

   
   8) Email Parser

   
   9) Encryption Detection

   
   이렇게 진행을 했습니다.

   
   
   분석을 진행한 컴퓨터의 사양은 CPU 라이젠5, 메모리 16GB 정도이며,
   분석에 소요된 시간은 약 32분정도가 걸렸습니다.
   혹시나 싶어서 동일한 파일을 위의 9개 모듈중 Keyword Search 만 제외하고 새로 분석을 진행해보니 약 4분정도가 소요가 됐고요.

   
   
   분석에 걸리는 시간은 컴퓨터의 스펙이나, 현재 상태(CPU 및 메모리 사용량 등)에 따라 차이가 있을수 있습니다. 저도 해당 파일의 분석을 진행하면서 예전에도 이정도 시간이 걸렸나 하는 생각이 들기도 했는데(큰 차이는 없지만 조금 더 오래걸린 느낌이였거든요) 오톱시가 업데이트 되면서 각각의 인제스트 모듈도 변경사항이 있을수 있는 만큼 차이가 발생할 가능성도 있을것 같습니다.
   
   다만 30분경과시점에서 49%라고 하셨는데, 실제 완료된 시간은 얼마나 소요되셨을까요?
   우선 연습하시는 컴퓨터의 스펙을 한번 확인해보시고, 더 중요한건 컴퓨터 상태가 너무 느리거나 하진 않는지, 많은 프로그램들이 백그라운드에 떠있어서 리소스를 잡아먹고 있는건 아닌지 등에 대한 부분도 확인을 한번 해주세요~
   정확한건 다 직접 확인을 해봐야알겠지만, 실습이미지가 파일이 많거나 윈도우즈가 포함되거나 한 이미지가 아니여서 아무리 오래걸린다해도 1시간 이내에는 분석이 끝나야 되지 않을까 싶습니다;

   
   (1시간까지 갈만한 이미지가 아니거든요)
   
   시간을 가장 많이 잡아먹는 부분이 바로 키워드 서치인데, 최근 시험 리뷰영상등에서도 말씀드린것 처럼 윈도우즈가 포함된 이미지라면 키워드 서치 모듈을 빼고 돌리시는것을 권해드립니다.
   윈도우즈가 포함된 이미지를 키워드서치를 포함해서 분석하실경우 4시간이라는 시간안에 끝내야하는 시험의 특성상 분석만 돌리다가 아무것도 못하고 끝날 가능성이 매우 높기때문입니다.

   
   
   이건 정말 케이스 바이 케이스인데, 우선은 키워드 서치를 돌리지 않아서 손해보는 부분보다 돌렸을때 손해보는게 훨씬 크다는 판단이 들어서 드리는 말씀입니다.

   
   
   해당 강의 영상에서 검색 연습하는 부분도 포함이 되어있는것으로 알고 있는데, 우선 시간 여유가 있으실때 키워드 서치를 포함시켜서 분석진행해 하셔서(다른 일 하시거나 잠깐 나갔다오실때 분석 돌려놓으세요~ 단 윈도우즈 절전모드 시간은 확인해주세요 ^^;) 키워드 검색 연습만 해보시고,
   키워드 서치는 적어도 시험에서는 안 한다 생각을 해주세요~

    

    

2. Encase에 대한 지원 불가에 대해서
   Encase에 대한 추가 강의나 질문에 대한 답변이 더이상 불가능한 이유는
   저도 더이상 Encase를 사용할 수가 없어서 입니다.
   Encase는 상용프로그램이며, 가격이 매우 높고, 개인적으로 접근하기에는 꽤 어려운 프로그램입니다.
   처음 Encase 강의를 업로드했을 당시에는 제가 Encase를 사용할 수 있는 환경이었으나
   더이상 Encas를 사용할수 없게 되어서 Autopsy 를 중심으로 강의 및 답변을 드리고 있습니다~
   

3. Encase or Autopsy
   - 2개의 툴이 모두 사용이 가능하신 상황이라면 당연히 Encase를 추천을 드립니다만
   (그렇다고 Autopsy가 많이 떨어진다는 의미는 아닙니다)
   Encase를 평소에 다뤄보셨다면 상관없겠지만 지금 이 시점에서 2개의 프로그램 모두
   시작하시는 상황이라면 적어도 이번 시험은 Autopsy로 하시는 것을 권해드립니다.
   Encase는 다양한 기능이 있는 만큼 Autopsy에 비해서 UI등 구조가 복잡한 편입니다.
   Encase의 특정 기능을 공부하셨다고해도 전체적인 UI가 익숙하지 않으면 해당 기능을
   찾아가는게 힘들수도 있습니다.(이 근처 어디였던것 같은데 하면서 헤맬수 있거든요)

   
   
   이미지 분석 속도는 아직 정확히 비교한 자료가 없어서 섣불리 말씀드리기는 어렵지만
   그대로 Encase가 단 1초라도 빠른것으로 보이고, Autopsy와 달리 Encase 하나로 해결할수 있는
   것들이 상대적으로 많은 편이며, 개인적으로는 안정성도 조금 더 높다고 생각을 합니다.

   
   다만 다양한 기능을 지원하는 만큼 프로그램에 적응하는 기간도 더 오래 필요하기때문에
   만약 이번 23회 시험을 준비하신다면, 적어도 현 시점에서는 Autopsy로 준비하시는게 낫지
   않을까 합니다(어디까지나 개인적인 생각입니다)

   
   
   참고로, Autopsy에서는 지원하지 않지만 Encase에서 지원하는 기능이라고 해도
   상황에 따라서는 Autopsy에서 했던것 처럼 Encase가 아닌 제3의 프로그램을 이용해서 분석
   하는게 여러모로 편한 경우도 있습니다. 참고해주세요~
   
   

안녕하세요, 인프런 AI 인턴입니다. 정선아님.

디지털포렌식 시험 준비를 시작하셨군요. 시험 준비 과정에서 여러 도구를 선택하는 것은 중요하지만 쉽지 않은 결정입니다. Autopsy와 Encase는 각각 장단점이 다르며, 사용 목적에 따라 선택지가 달라질 수 있습니다.

1. Autopsy의 이미지 처리 시간

Autopsy는 무료 오픈소스 소프트웨어로, 시스템 성능에 따라 이미지 처리 시간이 다소 길어질 수 있습니다. 특히, 이미지의 크기와 컴퓨터 사양에 따라서도 처리 시간이 달라질 수 있으니, 사용하고 계신 환경의 성능을 점검해보시는 것도 도움이 될 것입니다. 시험 전 충분한 연습을 통해 예상 시간을 가늠해보는 것도 중요하겠습니다.

2. 23.10월 이후 Encase 질문 미수용 이유

Encase가 고가의 상용 프로그램이다 보니, 많은 학생들이 접근하기 어려운 경우가 있습니다. 또한, 특정 커뮤니티에서 Encase 관련 자료나 질문이 제한될 수 있으니, 공식 웹사이트나 관리자의 지침을 참고해 주시기 바랍니다. Encase 관련 강의나 지원 사례가 제한적일 수 있어 Autopsy를 선택하시는 분들이 많은 것도 사실입니다.

3. 시험에 더 적합한 도구

Autopsy는 무료로 접근성이 높고, 다양한 기능을 지원하므로 교육용이나 시험 준비용으로 많은 사람들이 선택합니다. 반면, Encase는 직관적이고 고급 기능을 많이 제공하여 현업에서 자주 활용되는 도구이지만, 구독이나 구매가 필요합니다. Autopsy는 다소 복잡하거나 오래 걸리는 작업도 있지만, 여러 오픈 소스 도구와 조합하여 시험 대비에 유리할 수 있습니다.

강의에서 안내된 Autopsy 사례는 다소 많을 수 있지만, 이는 많은 사용자들에게 비용 효율적인 대안으로 인식되고 있기 때문입니다. 시험 환경에서도 자주 사용되고 응시자의 노하우가 광범위하게 공유되고 있습니다.

관련 자료 및 답변:

• “실기 시험장에서 Autopsy 사용툴에 대한 문의 드립니다!”: Autopsy와 관련한 사용 경험과 대비 방법에 대해 참고할 수 있는 정보를 제공합니다.
  

시험 준비가 어려운 부분도 있지만 다양한 자료와 조언을 통해 충분히 대비하실 수 있을 것이라 생각합니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.