인프런 커뮤니티 질문&답변

ryan님의 프로필 이미지
ryan

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

스테가노그래피 은닉 파일, 복구 완료 dd파일 제출 여부

해결된 질문

작성

·

301

0

안녕하세요,

스테가노그래피 방식으로 은닉되어 있는 파일을 HxD 통해 추출한 이후 이를 제출하여서는 안되는 것인가요?

이외에도 복구를 완료하여 저장한 DD 파일도 제출하면 안되는 것인지 궁금합니다.

답변 1

0

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 ryan님!

  1. 스테가노그래피

    • 설명을 위해서 우리가 분석툴에서 볼수 있는 커버 이미지 / 그리고 커버이미지 안에서 찾아낸 은닉 이미지로 칭하겠습니다.

    • 커버이미지에서 은닉되어있던 부분을 찾아서 별도의 파일로 만들어낸 은닉 이미지의 경우 굳이 제출을 하지 않으셔도 됩니다. 우선 은닉된 내용이 있었던 커버이미지 파일은 증거파일로써 당연히 추출하여 제출하실테고, 보고서 상에도 커버이미지에 대한 기본정보(파일명, 저장위치, hash값등)와 함께 '이 커버이미지를 확인해보니 ~~ 내용의 은닉된 이미지가 있었다' 라는 언급을 하시겠죠?

      또한 그에 대해서 캡처도 하실거고요(은닉된 이미지를)

      그정도만 하셔도 충분합니다. 원하신다면 은닉이미지를 제출하셔도 무방합니다.

    • 참고로 은닉 이미지의 경우 별도의 파일명등이 없기때문에 시험을 보시는 분 들이 정하는대로 파일명이 정해질테고, 그러다보니 파일명이 제각각일텐데, 되도록이면 '원본파일명_은닉된내용.jpg' 정도로

      파일명을 저장하시면 보기에 조금 깔끔하지않을까 싶습니다.

      또한 파일을 저장해서 제출하신다면 보고서에도 [은닉된 내용을 찾아서 '커버이미지_은닉된내용.jpg'으로 저장하였다]정도로 언급을 해주시면 더 좋지 않을까 합니다.

     

  2. DD/RAW 파일 제출

    • e01 생성후 파티션 복구를 위해 DD/RAW 이미지파일을 재 생성하여 파티션을 다 복구 하셨다면

      그 DD/RAW파일을 가지고 분석을 하시겠죠?

      그런데 DD/RAW파일은 절대 내실 일 없습니다!

    • 제출하는 이미지 파일은 최초 생성한 E01 파일이며, e01 파일은 압축을 하기때문에 용량이 적은반면

      DD/RAW파일은 압축하지 않은 '날 것(Raw)'이기때문에 간단히 말씀드려서 USB의 용량과 거의 동일하다 생각하시면 되는데, 그 파일의 용량이 너무 크기때문에 제출용 USB에 넣기에는 어려움이 있습니다.

      (증거파일과 보고서 등도 들어가야하니까요)

    • 어쨌든 DD/RAW 파일을 제출하지 않는다고 생각해주시고요, 이미지 파일 제출과 관련해서 시험 전에 나눠주는 출력물이나, 시험장에 붙어있는 안내문, 감독관이 전달하는 공지 등을 확인하시고

      그에 맞게 이미지를 e01만 제출을 하는지, 아니면 이미지파일을 아예 제출하지 않는지 확인을 꼭 해주시고 그에 맞게 진행하시면 됩니다 !

ryan님의 프로필 이미지
ryan

작성한 질문수

질문하기