인프런 커뮤니티 질문&답변

안녕하세요 귀여운 푸들님!

네 맞습니다!

다만 최근 출제 형태를 봤을때, 증거 USB 원본을 주지 않을수도 있습니다. 그 경우 쓰기방지와 이미지생성의 과정이 생략 된다고 봐도 되는데, 케이스별로 정리해보면

1) 제공된 USB가 증거 원본인 경우

① 쓰기방지 설정(레지스트리 수정 또는 Encase Fastbloc)
② 증거 USB 연결
③ FTK Imager로 이미징
④ 이미징 완료 후 이미징 한 파일을 FTK Imager에 불러와서 파티션 복구를 해야하는지 확인
⑤ 최초 이미징을 e01으로 하였고, 파티션 복구가 필요한 경우
- 연결되어있는 증거원본 USB를 원본(소스)다시 raw로 이미징
- 이미징한 e01 파일을 원본(소스)로 잡고 raw로 이미징
⑥ 연결되어있던 USB 제거(바로 뽑지 마시고 되도록 안전하게 제거해주세요)

⑦ 쓰기방지 설정 해제
- 굳이 안하셔도 큰 상관 없으나, 간혹 증거제출용 USB도 쓰기방지설정을 했을경우(과정이 꼬이지
않는이상 그럴일은 없지만) 증거제출용 USB에 복사가 안돼서 당황할수 있으므로 해주세요~
⑧ 이미지 파일의 파티션을 복구했거나 복구가 필요없는 경우 autopsy 등의 분석프로그램에서
불러와서 분석 시작

2) 시나리오상 증거원본이 아닌 이미징한 파일을 제공할 경우

① 쓰기방지 설정(레지스트리 수정 또는 Encase Fastbloc)
② 증거 USB 연결
③ FTK Imager로 이미징
④ 이미지 파일을 FTK Imager에 불러와서 파티션 복구를 해야하는지 확인
⑤ 제공된 이미지가 e01이고, 파티션 복구가 필요한 경우
- 제공된 .e01 파일을 원본(소스)로 잡고 raw로 이미징
⑥ 이미지 파일의 파티션을 복구했거나 복구가 필요 없는 경우 autopsy 등의 분석프로그램에서
불러와서 분석 시작

이렇게 2가지 경우에 맞춰서 진행을 해주시면 좋습니다.
이때 시나리오를 정확하게 보시고, 시나리오상 수집한 증거가 [증거 USB 원본인지], 아니면 [증거 USB 원본을 이미징한 사본 파일인지]를 확실하게 구분해주셔야합니다 !

안녕하세요, 인프런 AI 인턴입니다.

귀여운 푸들님, 디지털 포렌식 과정에서의 이미지 생성과 관련하여 질문을 주셨네요. 시험장에서의 증거 USB 처리 순서에 대해 아래처럼 진행하시면 됩니다:

1. 쓰기 방지 설정: 증거 USB가 연결되기 전에 데이터의 무결성을 위해 항상 먼저 설정하세요. 이는 도구나 수동으로 설정할 수 있습니다.

2. 증거 USB 연결: 무결성을 보장하기 위해 증거 USB를 연결하기 전에 쓰기 방지를 먼저 설정하는 것이 중요합니다.

3. 사본 생성: FTK Imager 등을 이용하여 증거 USB의 이미지를 만들어 내보내세요. 이는 .E01 또는 .DD 형식으로 저장할 수 있으며, 상황에 따라 적절한 포맷을 선택합니다.

4. 사본 생성 완료 후 증거 USB 분리: 이미지 생성이 완료되면 증거 USB를 안전하게 분리하세요. 이는 원본 USB의 변경 방지를 위한 단계입니다.

5. 쓰기 방지 설정 해지: 모든 작업이 끝난 후에는 사용한 쓰기 방지를 해제합니다.

6. 분석 진행: 생성한 사본 이미지 파일을 분석 도구로 가져와 분석을 시작합니다.

이 과정에서 각 단계마다 주의 깊게 확인하시고, 모든 증거는 변조되지 않도록 관리하셔야 합니다. 관련하여 추가적으로 많은 질문과 답변이 있었으니, 다음 URL에서 자세히 확인해 보세요:

• 디지털 포렌식에서 사본 이미징 관련 - 사본 이미징 과정에 대해 상세히 설명하고 있습니다.
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.