인프런 커뮤니티 질문&답변
작성한 질문수
vdmk 파일을 raw로 이미징하여도 Autopsy에서 분석 오류
해결된 질문
작성
·
31
1
안녕하세요,
시나리오 4에서 알려주신 방법대로, vmdk 파일을 FTK Imager로 raw 파일로 이미징하여도 오톱시에서 아래와 같이 오류가 나옵니다.
혹시 조치 방법이 있을까요? (경로 문제 등..)
FTK Imager에서는 파일시스템 잘 보입니다.
FTK Imager로 Raw로 이미징
답변 1
1
안녕하세요 설이로이님!
제가 풀이영상에서 말씀드린것처럼, Autopsy에서 vmdk 파일을 불러올시에 에러가 나는 문제는
아직은 확실한 원인 및 해결책이 없는 상태로 보입니다.
다만, raw파일로 다시 이미징을 한 후 autopsy에서 불러오면 큰 문제가 없는 것으로 알고 있는데,
혹시 raw 파일로 이미징 후에 autopsy에서 불러오자 마자 위의 스샷과 같이 바로 에러가 뜨나요?
에러메시지에 나와있는 내용을 보면, 윈도우즈를 설치할때 자동으로 생성되는 Microsoft reserved partition의 파일시스템이 확인되지 않는다고 하는데, 해당 파티션은 FTK Imager에서 보시는것처럼
파일시스템이 Unrecognized 로 나오는게 정상이긴 합니다.
올려주신 스샷을 보면 (스샷만 봐서는 정확히 알수는 없지만) 분석이 부분적 또는 일부분을 제외한 나머지 부분은 분석이 진행이 된것으로 보입니다
죄송하게도 이 문제에 대해서는 저도 답을 드리기가 어려울것 같습니다
다만 autopsy에서 위의 에러메시지가 나오고 난 뒤에, 나머지 부분에 대한 분석이 진행이 됐는지 확인을 한번 부탁드릴게요.
에러메세지에서 얘기하는 파티션은 분석이 되지 않아도 전혀 상관이 없기때문에 우선 다른 부분들의 분석이 제대로 됐다면 그 부분을 보고 진행해주세요.
풀이영상에서도 말씀드렸지만 포렌식학회에서도 출제한 문제에 대해서 시험장 환경에서 검증을 할테니 실제 시험장에서 저런 문제가 발생하진 않을거라 생각합니다.
네, 저 상태로 진행해도 일정 부분 분석이 되긴 합니다.
하지만, 강사님 화면과 일부 다른 분이 있는 것 같습니다.
(제 PC에서 분석되는 개수가 적습니다.)
우선 아예 안되는 건 아니니 이렇게라도 진행하겠습니다 ㅠㅠ
감사합니다!!
※ 참고
웹DRM으로 화면캡처가 막혔지만 아래와 같이 차이를 확인했습니다.
ex) 데이터 아티팩츠>데이터 분석
강사님 PC : 암호화 파일(7), 확장자 변조(88)
제 PC : 암호화 파일(4), 확장자 변조(18)