해결된 질문
작성
·
324
0
시나리오 3 1번문제 해시값 관련해 전달주신 e01 파일을 재이미징해서 MD5를 확인해보았는데 보고서에 기재된 해시값과는 다른 값이 나옵니다.
정상적인 결과일까요?
답변 3
0
0
안녕하세요 Ryan님!
말씀하신대로 문제 1번의 보고서상 hash값과 제가 올려드린 실제 이미지파일의 hash값이 다릅니다.
1번 문제에 답을 하는 방법을 보여드리기 위해서 따로 캡쳐를 하고 보고서 작성을 하다보니
hash값이 다르게 적혀있는것 뿐이니 이 부분은 크게 신경쓰지 않으셔도 될 것 같습니다.
강의영상에서 이미징 연습을 위해서 개인이 소유하고 있는 USB를 증거 USB로 가정하고
그 USB를 이미징한 후에, 산출된 hash값을 문제 1번의 답에 적어주시라고 말씀드렸던것 처럼
실제 시험에서는 증거USB를 직접 이미징한 후 산출된 hash값을 적어주시면 됩니다!
한가지 질문드리고 싶은게 있는데,
'전달주신 e01 파일을 재이미징해서 MD5를 확인' 이라는 말씀에서
e01파일을 재이미징 하셨다는 말씀은 제가 올려드린 e01 파일을 원본으로해서 001파일로 다시 이미징하셨다는 말씀이실까요?
네. 혹시나 해서 말씀드리는데, 연습하시더라도 가지고 계시는 USB로 직접 이미징하시면서 연습하시는걸 권해드립니다 !
쓰기방지후 USB 연결하여 e01으로 최초로 이미징하고,
만약 파티션복구등을 해야할경우에는 다시 증거 USB를 DD(RAW)로 이미징 하시는건 아시죠?
이과정에서 처음 생성한 e01파일을 원본으로해서 DD(RAW) 파일로 다시 이미징 하시면 안됩니다 !!
DD로 다시 이미징 하실때도 반드시 이미징할 원본(소스)는 USB(Physical)로 e01 생성시와 똑같이 하셔야해요!
아시겠지만 혹시나 하는 마음에 말씀드렸습니다 ^^;
안녕하세요 mmshk1님!
시험장에 가시면
쓰기방지 후 증거 USB 연결
FTK Imager를 이용해서 E01 로 최초 이미징
생성된 E01파일을 FTK Imager로 불러와서 파티션 상태 확인해서
3-1. 모두 정상적으로 보이거나 일부만 [Recovered]로 보인다면
바로 Encase/Autopsy에 불러와서
Encase > [Recovered] 파티션 복구 > 분석 진행
Autopsy > 바로 분석 진행
※ 정상인걸 확인하셨다면 USB 제거하셔도 됩니다.
3-2. 파티션 중 Unrecognized File system인 파티션이 있을경우
다시 FTK Imager를 이용해서 [DD/RAW] 파일로 이미지 생성
DD/RAW 이미지가 정상적으로 생성이 됐다면 USB 제거하셔도 됩니다.
● USB는 시험내내 연결해놓아도 크게 문제는 안됩니다. 하지만 제거를 하시는게 좋긴하죠
쓰기방지등의 조치를 다 했지만 혹시라도 생각지도 못한 상황에서 증거 USB가 훼손되는 일을
막기 위함입니다.
● 위의 2. e01 으로 이미징을 완료한 상황에서 USB를 제거하셔도 무방합니다.
다만 e01생성후에도 아직 연결을 해놓은 이유는 파티션 확인후 DD/RAW로 재 생성을
해야할 경우 다시 연결을 해야하기때문에 그냥 연결을 유지했을 뿐 큰 이유는 없습니다.
엄밀히 말하면 이미지 생성하고 바로 제거하고, 이미지 재생성이 필요한 경우
쓰기방지 확인후 다시 연결하고의 과정을 거치는게 좋긴 합니다 !