인프런 커뮤니티 질문&답변
작성한 질문수
시험 답안 작성시 디테일 문의!!
작성
·
62
0
안녕하세요, 시험 하루 전 실제로 보고서 작성을 하다보니 고민되는점이 있어 문의남깁니다!!
예를들어 스테가노그래피, 시그니처 훼손등의 경우 추가작업(hxd로 값을 바꿔주고 등등..) 이 필요한데, 답안을 처음부터 작성하는것이 아니라 메모장에 그러한부분을 메모해두다가 마지막에 답안을 작성하잖아요.
이렇게 될경우 답안작성시 hxd로 작업을 하는 중간과정 등의 캡쳐가 생략이 되는데 (또 멘토님께서 실제로 답안올려주신것을보면 결과만 적혀있긴합니다.) 이런것들이 삭제가 되어도 되나요?
ex: OOO.jpg 를 ~~로 분석해보니 .png파일과 .gif 파일이 은닉되어있었고 이런내용이다 - . 의 결과론적인 이야기만 있어도되는것인가 해서요. (hxd로 분석해보니 이러한 시그니처가있어 이런파일이 은닉되었고 (캡쳐) 등의 자세한 내용은없어도되는지, 있다면좋은지 알고싶습니다..!)
채점기준을 모르니까 답답하긴한데.. 최대한 자세하게 작성하는게 나을지 급 고민이되어 질문남깁니다 ㅠㅠ
감사합니다..!
답변 1
1
안녕하세요 정선아님!
답안작성시에는 가능하다면 해당 증거를 찾는 과정들에 대해서 상세하게 적어주시는게 제일 좋습니다.
물론 시간적으로 가능하다는 전제가 있으며, 시간이 부족하면 어쩔수없이 과정을 간단히 줄이고 결론으로 정리할수밖에 없겠죠.
혹시 제가 올려드린 어떤 답안을 보셨을까요 ?
(실습 시나리오 4번을 제외하고는 모두 상세하게 담은 보고서를 올려드렸는데요 ㅜ_ㅜ)
실습시나리오 1~3에 올려드린 보고서 예시 파일들을 보시면,
각각의 증거에 대해서 어떻게 찾았고, 어디와 연결되고, 결론적으로 어떤 내용의 증거이다를 순서대로 정리하고, 중요부분마다 찾아낸 증거의 스샷을 함께 올려놓은걸 보실수 있습니다.
예시로 올려드린 보고서는 어디까지나 예시일뿐, 더 좋은 다른 형태로도 가능하며
제가 올려드린 보고서의 구성을 보시면 꽤 시간이 들수밖에 없는 형태로 실제 시험에서 저렇게 까지 작성하기는 어려우실거예요.
메모장에 기록한것에 대해서 조금 헷갈리시는것 같아서 잠깐 설명을 드리면,
1) 탐색과정중에서 의심이 가는 파일들은 메모장에 간단히 기록
- 이러한 과정을 거치는 이유는 방금 찾은 이 파일이 뭔가 의심은 가는데 증거인지 아닌지에 대해
판단하기에는 조금 더 탐색을 해서 맞춰봐야 알수가 있고, 이를 적어놓지 않는다면
전체적으로 탐색이 끝났을때 지금까지 찾은 내용들에 대해서 기억이 나지 않을수도 있기때문에
어느정도 탐색이 완료된후 메모장에 기록한 내용을 바탕으로 사건을 재구성해보는 용도 입니다.
메모장에 적은것은 어디까지나 정리용일뿐, 이 메모장의 내용을 보고 관련있는 내용들만 뽑아내고
행위에 대해서 전후관계를 따져보면서 사건이 어떻게 진행했는지를 파악한 뒤에
문제에서 요구하는 답을 보고서에 정리할텐데, 각각의 파일들이 어디에 있었는지 간단히 기록한
메모장을 보면서 보고서를 작성하면서 해당 파일을 빠르게 찾아 캡처한후 첨부하는 순서로 진행해주
세요
2) 탐색 완료 후 지금까지 찾은 단서 정리 및 사건 재구성
- 지금까지 찾은 단서들을 보면서(메모장) 문제에서 요구하는 답을 하기 위해서는 어떤 단서들을
봐야하고 각각의 파일들이 어떻게 연결이 되는지 전후관계를 파악한 후 찾은 파일들을
분류해주세요.
- 예) 용의자가 연락을 주고 받은 방법관련
> 1.jpg
>ftp.log
>2.eml
예) 용의자가 유출을 했음을 알수있는 증거
> 3.jpg : 사무실사진. 모니터에 용의자 이름 태그 붙어있음.
3)정리가 끝난 후 보고서 작성
- 문제에서 원하는 답을 보고서로 작성하기 위한 준비가 끝났다면
/ 해당 파일들을 어떻게 찾았는지
:바탕화면에 a.jpg 파일이 있었다. 이 파일을 열어보니 용의자와 B의 대화내용을 캡처한 파일이었다.
/ 그 파일에 다른 특이사항을 없었는지
: 또한 a.jpg 파일을 HxD로 살펴보니 FF D9로 끝난 후 다시 FF D8로 시작 FF D9로 끝나는 추가적
인 부분이 발견되어 추출하여 보니 또다른 jpg 파일이 은닉된 스테가노그래피 였고 해당 이미지는
용의자 A의 계좌번호를 찍은 사진이었다.
/ 그 파일에 연결되는 다른내용은 없는지
: 스테가노그래피로 은닉된 이미지에서 확인한 A의 계좌번호는, 다운로드받은 파일 폴더에 있던
XX은행 거래내역 이미지의 계좌번호와 동일했으며, 송금받은 내역 중 24/11/22에 B의 이름으로
5천만원이 입금된 것을 봤을때 이는 유출의 댓가를 B가 지급한것으로 추정된다
-이런식으로 관련된 증거들을 묶어서 전후관계에 맞춰서 풀어주시면 됩니다.
▶메모장에 따로 기록을 하지 않으셔도 되고, 메모장 기록을 하시면서 해당 파일들을 그때그때 캡처
하셔도 되며, 처음부터 바로 보고서 작성으로 들어가셔도 상관없습니다.
다만 제가 굳이 메모장등 간단히 기록후에 정리하고 보고서 작성을 하시는것을 권해드리는 것은
아직 전체적인 그림이 나오지 않은 상태에서 처음부터 보고서 작성이나, 캡처를 하시면 오히려 시간
낭비가 될 가능성이 크기 때문입니다.
특정 파일을 찾았는데 느낌적으로 이거 맞다는 그런 경우가 있을수도 있겠지만 찾게되는 모든 파일
들을 그렇게 느낌만 가지고 가기에는 어려움이 있겠죠.
어디까지나 제가 개인적으로 권해드리는 방법일뿐, 틀린 방법은 없습니다. 나에게 맞는 방법대로
하시면 될 것 같아요~
■ 아 물론 시나리오와 상관없는 볼륨의 총 섹터수, 시스템의 IP어드레스 등의 문제는
메모장에 따로 적으실 필요없이 바로 캡처해서 보고서 작성하시면 됩니다!