작성
·
15
·
수정됨
1
문제풀이 과정에서 몇가지 궁금한게 있어요. 유출된 파일을 찾으라거나 특정 md5값을 가지는 파일에 대한 문제나 이런것들은 autospy에서 파일 수집 해서 문제풀이 폴더로 옮겨야하는걸로 확인했는데 그 이외 다른 문제들은 어떻게 해야하는건지 궁금해요
1. 증거사본 이미지를 생성하고 무결성을 입증하시오.
해당 문제는 FTK imager을 통해서 사본 생성 후 해당 파일을 복구 및 위변조 없이 그대로 문제풀이 폴더에 저장하면 되나요??
2.수집한 증거 USB를 복구하고, 복구방법에 대해서 상세히 기술하시오
1번에서 수집한 사본이미지를 hex 도구를 이용해 복구 후 FTK Imager에 올려 정상 복구된것을 확인하고 복구 완료한 이미지 파일을 문제풀이 폴더에 저장하면 되나요??
3.수집한 증거 USB 매체 볼륨 중 운영체제가 설치된 볼륨의 ① 파일시스템의 종류 ② 총 용량 ③ 총 섹터수 ④ 클러스터의 크기를 기술하시오
FTK Imager에서 운영체제가 설치된 볼륨만 export해서 문제풀이 폴더에 저장하면 되나요??
답변 1
0
안녕하세요 귀여운 푸들님!
1)증거사본 이미지 생성 및 무결성 입증
- 최근에는 이미지 파일을 제공하기때문에 보기 힘들어진 문제입니다.
예전에는 기본적으로는 이미징한 파일(예: image.e01)을 답안제출용 USB에 함께 제출하기도 했으나
문제지 또는 시험장의 안내문에 '증거 USB의 이미징 파일을 제출하지 마시오'라는 내용의 안내가 있었던
시험에서는 이미지 파일을 제출하지 않았습니다.
- 우선 이미지 파일이 제공이 되는지,아니면 증거 USB를 제공하여 우리가 이미징을 해야하는지를
확인하신 후, 이미지파일이 제공된 경우에는 신경안쓰셔도 되며, 증거 USB를 제공한 경우에는 이미지
파일을 제출하지 말라는 내용이 있는지 꼭 확인하셔서 지시에 따라주시면 될것 같습니다
2) 파티션 복구한 후의 이미지 파일
- 위의 경우에는 기본적으로 제출한 적이 없는것으로 알고 있습니다.(용량 문제가 가장 크죠)
제출하라는 지시가 있지 않는이상 제출 하지 않습니다 !
3) 볼륨정보 관련
- 이 문제는 해당 정보를 찾을수 있는지 보는 기본적인 문제로 별도로 제출할 파일이 없습니다 !
- 다만 보고서에 파일시스템은 ~~에서 확인했으며, NTFS였다(+스크린샷)
총 섹터수는 ~에서 확인했으며, 1,234,567 개 이다 (+스크린샷)
위의 형태로 설명과 함께 해당 부분에 대한 스크린샷을 덧붙이는 정도로만 해주시면 됩니다 !
질문주신 내용이 헷갈릴수 있는 부분인데, 살짝 정리를 하면
1) 증거 원본 USB의 이미지 파일
- 기본적으로는 제출하나, 제출하지 말라는 내용이 있다면 제출 X
2) 증거 원본 USB가 아니라 이미지 파일을 제공한 경우
- 제출 X
3) 파티션 복구 후에 변경된 이미지 파일
- 제출 X (제출 하라고 지시한경우에만 제출 but 제출한 경우가 없었던 것으로 알고 있습니다)
4) 각종 증거파일
- 문제에서 직접 묻거나, 시나리오상 증거로 추정된, 또는 연관된 모든 파일은 해당 문제의 폴더에 하나씩 다 추출해서 제출 !
5) 기본이론을 묻는 단순 문제들에 대한 파일 제출
- 볼륨에 대한 정보, 디스크에 대한 정보, 윈도우즈 계정에 대한 정보 등
단순한 이론을 확인하는 문제로 시나리오와 전혀 상관없는 문제들은 관련 파일 제출 X
(생각해보면 관련 파일을 제출할 일이 거의 없습니다)
단 별도로 특정하여 지시한경우는 예외
기본적으로는 이렇게 생각해주시고, 가장 중요한건 반드시 문제 또는 시험장의 안내문 등의 지시를
정확히 이해하고 따라주세요 !