인프런 커뮤니티 질문&답변
작성한 질문수
[Autopsy]실습 시나리오 풀이 2-2 질문입니다!!
해결된 질문
작성
·
51
1
[Autopsy]실습 시나리오 풀이 2-2 중 아래와 같이 궁금한게 있어 질문드립니다.
파일의 시작섹터를 보려고 아래와 같이 FTK Imager에서 확인해보니 시작섹터가 안나옵니다.
하지만, Root에서 우측에 파일을 클릭해야만 제대로 나옵니다.
※ 개별 파일의 시작 섹터를 확인하려면, 반드시 Root에서 찾아서 확인해야만 하는 걸까요?
답변 1
1
안녕하세요 설이로이님!
먼저 결론부터 말씀을 드리면, 네 에비던스 트리 에서 선택한 파일의 시작섹터 정보를 확인할 수 없다면,
해당 파일이 있는 위치로 들어가서 선택 후 확인을 하셔야 합니다.
다만 에비던스 트리에서는 시작섹터 확인이 무조건 안되는건 아닙니다.
아래 스샷들을 보시면 동일한 이미지의 루트에 들어있던 다른 파일들은 시작섹터 확인이 됩니다.
하지만 나오지 않는 경우가 있는데, 그 파일들에 대한 정보는 아래와 같이
'File type (FBFS) Zip' 이라는 내용을 확인할 수 있습니다.
개인적으로는 에비던스 트리에서 파일을 선택해서 파일의 정보를 보려고 해본적이 없더라고요. 그래서 이 부분이 이렇게 나온다는 것을 저도 오늘 처음 알았습니다(덕분에 저도 배웠습니다!)
위와 같이 시작섹터 정보, 정확히는 파일의 정보가 확인되지 않고 파일타입이 Zip으로만 나오며, 그렇게 나오는 파일들이 MS워드파일인 .docx, 압축파일인 .zip 파일만인것을 봤을때,
해당파일들이 복합파일인 영향이 아닐까 하는 생각이 듭니다.(보통 압축파일 zip 과 MS 오피스 계열 파워포인트, 워드, 엑셀, 한글 파일등을 복합파일이라고 하는데 이 경우 .hwp 파일은 정상적으로 나오긴 합니다)
조금 더 구체적으로 얘기하면, 우선 압축파일인 zip은 기본적으로 압축파일이기에 저렇게 보여주는데,
복합파일중에 한글은 정상적으로 보여주고 있지만, 다른 복합파일인 MS 오피스 계열 파일들은 복합파일이기도하고, 그래서 구조가 zip 처럼 보이는 이유로 압축파일인 zip파일로 추정해서 동일한 결과를 보여주는것으로 보입니다.
(물론 이 이미지에 없던 .pptx와 .xlsx 파일은 확인을 해보진 않았지만 비슷한 결과가 나오지 않을까 조심스럽게 추측해봅니다)
이게 정확한 이유를 찾기는 조금 어려울것 같은데, 위의 내용은 어디까지나 추정일뿐 참고만 해주시고요.
이렇게 나오지 않는 경우에는 'File list'에서 해당 파일을 찾아 선택 후에 확인을 해주세요~