인프런 커뮤니티 질문&답변

안녕하세요 SHA_256님!

먼저 답변 드리기 전에... 와... 박수 먼저 드립니다!
제가 전혀 예상하지 못한 방법으로 해결하셨네요!!

사실 원래 제 의도는 mailview에서 첨부파일의 파일명만 확인하고 어떻게해도 해당 파일을 받아볼수가 없어서 어쩔수없이 NTFS LOG Tracker로 추적할수 밖에 없는 상황을 만들기 위해서
.eml 파일을 HxD로 열어서 첨부파일 부분을 아주 살짝만 훼손을 시켜놓고 저장을 했습니다.

더블클릭해서 열어보니 안열린다 이부분만 신경을 쓰고 마우스 우클릭의 'save'를 신경을 못썼네요 ㅎㅎ

Base64 인코딩인 점을 확인하고 디코딩까지 해서 확인을 하실 생각을 하시다니 대단하세요!
(저는 못했을것 같거든요 ;;)

서론이 길었네요. 궁금하신 부분에 대해서 답변을 드리면,
네 충분히 유효한 방법입니다.

만약 문제가 ~을 찾고 그 과정을 상세히 써라 라는 유형의 문제였다면, 위의 방법으로 풀었을 경우
단순히 답만 확인할 수 있는 방법이어서 출제자의 의도에 살짝 못 미치는 답이 됐을수도 있을것 같아요.

하지만 문제가 단순히 URL과 문자메시지의 수만을 물어보는 단순한 문제였기때문에
그에 대한 답으로 충분할 것 같습니다.

다만 여러개의 시나리오 풀이 영상에서도 제가 말씀드린것처럼 문제에서 직접적으로 묻지 않았다고해도
시간 여유가 있다면 문제에서 요구하는 답을 찾기 위한 전반적인 과정을 풀어서 설명해주는 것이
가장 좋은 답일것 같다는 생각이 듭니다(어디까지나 제 개인적인 생각입니다)
왜냐하면 저 문제를 만든 제 의도가 '최초로 받은 기록은 있는데(웹 다운로드 기록) 갑자기 증발했으니
대체 어떻게 된 것인가?'이다보니 더 그런 생각이 드는것 같습니다 ㅎㅎ

제가 디테일한 채점 기준을 알수는 없겠지만, 만약 제가 출제자라면
1) 간단하게 답만 쓴 경우 - 예) 3-1의 답 : http://domain.com, 3-2의 답 : 14개
2) 답을 찾기 위한 과정을 자세히 쓴 경우
위 2개의 답 중 2)에 조금 더 점수를 주지 않을까 싶습니다.

디지털 포렌식 2급 시험이 단순히 답을 찾는것보다는 그 답을 찾는 과정에서 어떤 문제가 있을때
먼저 어떤 부분들을 의심해보고, 또 어떻게 해결해서 답을 찾는지에 대해 알고 있어야하는 기술적인 부분들과 접근방식 등 전반적인 면을 보는 시험이라고 생각을 하거든요.

그래서 가능하다면 ' 나 이것도 알아'라고 '티'를 조금 더 낼 수 있도록
1) 이메일에 첨부된 sample.docx 가 열리지 않고, 그 파일의 흔적을 더이상 찾을수 없어서
NTFS log Tracker로 확인해보니 다운로드 후 이름 및 확장자를 변조하고, 파일의 위치를 \windows\debug\로 옮겼으며, 그 파일을 확인해보니 스미싱 샘플 파일을 확인할 수 있었다.

2) 또한 1) 방법외에도 이메일의 첨부파일을 다운로드 받아서 확인해보니 base64인코딩이었기에

cmd의 certuil 명령으로 디코딩해서 열어보니 내용을 확인할수 있었다.

이렇게 '티'를 내주시면서 정리하시면 최고의 답이 되지 않을까 싶습니다.

물론 문제 자체가 단답형으로 답해도 되게끔 질문을 했기에 SHA_256님 찾으신 방법으로 해도 충분합니다. 하지만 (다른 문제들을 해결하고 시간여유가 있어야 다른 접근 방법이 있는지 알수있겠지만) 더 자세하게 써주시면 제일 좋을것 같아요!