인프런 커뮤니티 질문&답변
작성한 질문수
답안 제출 usb 관련 문의
작성
·
86
0
시험과정에서 레지스트리로 쓰기방지한 후에 두개의 usb를 연결시킨 후 증거 usb 이미징이 끝나고, 증거 usb는 바로 빼도 되는걸까요?
답안 제출 과정에서 레지스트리에서 WriteProtect값을 0으로 변경 후 종료하고 답안제출 usb에 답안을 붙여넣기하면 되는 건가요?
시험장에서 당황할 수 있을거 같아서 여쭤봅니다 ㅠㅠ
답변 2
0
안녕하세요 라랄라라님!
1. 증거 USB원본 1개(또는 2개 등), 답안 제출용 USB1개를 받으신 경우
증거 USB 원본이 있으니 당연히 이미징을 직접 해주셔야하는 경우로
1) 가장 먼저 쓰기방지(레지스트리 수정 또는 Encase Fastbloc se 설정) !!!!!!!!
2) 이미징 하려는 증거 USB 원본 연결
3) FTK Imager로 이미징(e01 or raw)
4) 이미징한 파일을 FTK Imager에 불러와서 파티션 복구가 필요한지 여부 확인
5) 파티션 복구가 필요한 경우 다시 FTK Imager에서 증거 USB 원본을 소스로 잡고 raw로 이미징
- E01으로 이미징 했을 경우에 해당하며, 처음부터 raw로 이미징하신경우에는 필요없는 과정입니다
6) 추가로 이미징할 증거가 없으면 USB에 안전제거
7) 쓰기방지 해제
▶ 쓰기방지를 굳이 해제해주는 이유는 쓰기방지는 설정 이후에 연결되는 USB에 적용되므로,
이미징을 위해서는 당연히 쓰기방지를 해야하는데, 그 이후에 답안 제출을 위해서 제출용 USB
연결시 쓰기방지가 걸린 상태가 되므로 복사를 해도 복사가 되지 않는 문제가 생깁니다.
이 부분은 침착하면 자연스럽게 쓰기방지 해제해야겠다 생각을 하는데 제출시점은 시험 시간이 끝나가
는 시간이다보니 당황해서 잘 생각을 못하고 패닉에 빠질수 있거든요.
그래서 이미징 작업이 끝나면 미리 쓰기방지를 해주시는게 부담이 적습니다.
▶ 이미징 후에 USB를 바로 제거하셔도 됩니다!
다만 이미징한 파일을 반드시 FTK Imager로 열어서 파티션 복구가 필요한지 확인후에 진행해주세요
처음부터 raw 파일로 이미징하시면 상관없지만, 대부분 e01으로 하실것 같은데, 그 경우 이미징 후
USB 제거하고, 쓰기방지 해제하고 나서 보니 파티션 복구가 필요하면 앞의 과정을 또 반복해야해서
시간을 낭비할수도 있습니다. 차분히 진행해주세요~!
▶ 질문중에 '시험과정에서 레지스트리로 쓰기방지한 후에 두개의 usb를 연결시킨 후 ~' 라고 해주셨는데 여기에서 두개의 USB는 증거원본 USB와 답안 제출용 USB를 말씀하신게 맞죠?
처음부터 2개를 동시에 연결 후에 하셔도 상관은 없습니다.
다만 혹시모를 실수 예를들면
USB가 헷갈려서 증거제출용 USB를 이미징하거나,
다 잘 해왔는데 마지막에 증거제출용 USB에 증거파일과 보고서를 복사할때 증거원본 USB에 복사하거나,
처음 2개를 동시에 연결하면서 두개 모두 쓰기방지가 걸려있게 된 상태에서, 쓰기방지를 해제했는데
제출용 USB를 다시 연결하지 않고 놔뒀거나 하는 경우 문제가 생길수 있으므로
(쓰기방지후 USB 2개를 연결한 후, 1개를 제거한 뒤 쓰기방지를 해제하였다고 해도
나머지 USB를 제거했다가 다시 연결하지 않으면 그대로 쓰기방지가 유지됩니다.
쓰기방지 적용/해제의 효과는 설정 및 해제 변경 이후에 연결되는 장치에 적용됩니다. 그 전에 이미
연결되어있는 장치에는 영향을 주지 않습니다)
꼭 확인하시고 진행해주세요~!
네 문제없습니다. 다만 쓰기방지 설정 후 증거usb와 답안제출용 usb를 한번에 다 연결하고, 파티션 훼손 까지 확인해서 더이상 증거 usb가 필요없어졌을때 쓰기방지 해제하고 증거 usb를 제거하더라고, 처음에 같이 연결한 답안제출용 usb는 여전히 쓰기방지 적용이 되어있을수 있으니 이 부분을 꼭 확인해주세요.
개인적으로는 굳이 한 번에 연결하시기보다는 증거 usb 이미지 완료 후 usb 제거 및 쓰기방지까지 해제한 상태에서 답안제출용 usb 연결하시는게 나을것 같습니다.
참고로 노트북으로 시험을 보실텐데, 노트북의 usb 포트는 약 2개정도 예상되며
그 usb 포트도 아마도 usb3.0 1개, usb2.0 1~2개로 이미징을 위해서는 되도록 3.0에 연결하시는게 좋고요.
22회 시험 보신분들의 말씀에 의하면 usb포트가 부족해서 학회에서 usb 허브를 추가로 제공했다고 하는데, 과연 3.0을 지원하는 포트였을지는 모르겠습니다.
0
안녕하세요, 인프런 AI 인턴입니다. 라랄라라님.
레지스트리와 관련된 디지털 포렌식 시험 절차에 대해 문의주셨네요. 시험 과정에서 레지스트리 설정을 활용하여 쓰기 방지와 이미징을 안전하게 진행하는 것은 중요한 부분입니다.
증거 USB 처리: 이미징이 완료되었다면 더 이상 증거 수집이 필요하지 않기 때문에 증거 USB는 이제 안전하게 제거할 수 있습니다. 다만, USB를 제거할 땐 항상 안전하게 제거하는 절차를 활용하는 것이 좋습니다. 예를 들어, Windows에서는 ‘안전하게 하드웨어 제거’ 기능을 사용해 충돌 없이 제거하실 수 있습니다.
쓰기 방지 해제: 레지스트리에서
WriteProtect의 값을 0으로 변경하여 쓰기 방지를 해제한 뒤, 답안 제출용 USB에 데이터를 붙여넣기 하시면 됩니다. 이 과정은 시험장의 장비 및 절차에 따라 달라질 수 있으므로, 시행 전 시험장 가이드라인을 한 번 더 확인하시는 것이 안전합니다.
이와 관련된 추가 점검을 원하신다면, 다음의 링크를 통해 더 많은 정보를 얻을 수 있습니다:
- 디지털 포렌식에서 USB 처리 및 레지스트리 설정 관련 자세한 안내: 이 질문은 바이트의 쓰기 방지 해제와 이미지 파일 처리 절차를 상세히 설명하고 있습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
바쁘실텐데 답변해주셔서 감사합니다!
제가 이해한 바로는 증거usb, 답안usb 두 개 다 연결하기 전에 쓰기방지 설정 후 증거 usb의 이미징이(파티션 훼손까지 확인)끝난 후 바로 그냥 미리 쓰기방지해제 해도 문제가 없다는 말씀이신가요?
앞에서 답변해주셨는데 긴장되서 괜히 물어보게 됩니다....