별도로 파티션 복구 실습을 위해 제가 가지고 있는 USB 를 E01으로 이미징하여 (FTK Imager사용)해당 이미지 파일을 FTK Imager와 HxD로 헥사값을 비교 해보았으나, 두 프로그램에서의 데이터가 틀린값이 나오는데 왜그런건가요 ??FTK Imager에서 NTFS 구조가 보이는 반면 HxD 로 보면 이상한 값이 현출되어 멘붕왔습니다. 무엇을 잘못한걸까요?위는 FTK Imager로 보았을때 .아래는 HxD 로 보았을때추가적으로 동일 USB를 DD 파일로 이미징 해보았으나 이값 또한 전혀 다른 이상한 값이 현출됩니다.. 정리하자면,① 동일 USB 이미징 파일(E01)이 왜 두 프로그램에서 이상한 값이 현출되는지 ?② 동일 USB로 DD 파일로 이미징 하였을때 E01 이미징한 파일과 왜 값이 틀려지는지 ?실제 시험장에서 이러면,,,,상당히 당황스러울껏같습니다..

안녕하세요NTFS의 BR 복사본을 복사하여 BR에 붙여넣기 쓰기 하려고 했더니아래와 같은 오류가 나옵니다.혹시 어떤 이유인지 알 수 있을까요?다른 프로세스에서 사용중인 건 없습니다. 

혹시 아래와 같이 직관적으로 MBR과 BR을 쉽게 구분하는 방법이 있을까요?(예시)MBR : Press Ctrl+Alt+Del to restart ..........가 없음, 바로 다음 섹터에 BOOTMGR이 없음BR : Press Ctrl+Alt+Del to restart ..........가 있고, 바로 다음 섹터에 BOOTMGR이 있음 

EnCase를 사용할 수 없는 환경이라서 문의드립니다. 어차피 이미징 할 때는 FTK Imager로만 하고, EnCase를 사용하지 않을 것이기 때문에,EnCase를 활용한 FastBloc SE 쓰기방지 설정은 하지 않고, 윈도우 레지스트리로만 해도 무방한지요?

안녕하세요 답안 제출 관련 문의드립니다.실기시험 시 문제10번까지 있는 경우문제를 풀며 D드라이브에 만들어놓는 것처럼 각 문제별 폴더화한 후 답안제출용 USB에 복사/붙여넣기해서 제출해도 되나요?(제공해주신 시나리오1의 완료보고서처럼 1개 파일로 만들어서 완성본 보고서를 제출해야할 것같아서요..)폴더화하는 경우 답안 hwp 외 '증거파일(원본)' 넣어도 되나요? 예를 들어 문제1 폴더 내 .hwp 외 '증거파일 폴더(원본 증거파일 수록)'

안녕하세요, 실기 시험 준비로 도저히 EnCase를 사용할 수 없는 환경입니다.혹시, FTK Imager, Autopsy, LNK Parser 등 무료 Tool만으로도 실기 시험보는데 문제가 없을까요?(물론, EnCase가 없으면 다른 프로그램에서 봐야하는 등 번거로운 절차가 추가되는 건 상관 없습니다.) 예를 들어 아래 Autopsy 코스만 익혀도 실기시험 합격하는데에는 문제가 없는지 궁금합니다.2. Autopsy 코스(아래 5번까지 모두 무료인가요?)  1) Autopsy 4.20.0  2) FTK Imager 4.7.1.2  3) HxD 2.5.0.0  4) REGA 1.5.3(DFRC)  5) LNK Parser(DFRC) 결론적으로 무조건 EnCase를 활용해야만 풀 수 있는 문제가 있는지 궁금합니다..........

① 강의에서는 압축해체시 c-time 변경된다고 설명 되어 있으나, 기존 윈도우에 있던 파일 (txt, xlsx)을 압축 후 해제하여mac 타임을 비교해보았는데 c-time 변경된 사항이 없습니다 .※ 어느것도 변경된 정보가 없습니다.② 단순 파일을 열고 닫을시 a-time등 변하지않나요?- 테스트 당시에는 변하지않음 ③ 위와 별게의 질문으로 파일의 논리적 크기의 값 정보는 있으나 디스크 할당크기가 0바이트로 표기되는 파일이 간혹있는데 어떤 이유때문인가요? 

안녕하십니까 강사님 디포 2급 준비하는 학생입니다.실기에 사용하는 툴이 크게 1)FTK Imager, 2)Encase, 3)Autopsy 3가지로 알고있는데Encase을 사용하고자는 하는데 해당 프로그램이 유료라서 평소에 연습이 불가하여 어쩔수 없이 무료인(?) Autopsy로만 사용하고 연습해야할 것 같은데 Autopsy 툴만 사용하여 시험을 봐도 무방합니까?한개의 툴만 이용할 경우 시험장에서 제약적인 상황이 오지 않을까 염려하여 문의드립니다.혹시 Encase 무료 설치할 수 있는 방법이 있다면 알려주시면 감사하겠습니다. 

수강이 다 했는데 왜 29강중 왜24강만 진척되었다고 할까요

현재 인텔 맥 사용 중 입니다. ftk imager를 아래 링크를 통해서 다운받아서 했더니 지원하지 않는 파일이라 뜨고 진행이 되지 않습니다. 어떻게 해야 하나요??

vol.py -h에서 오류가 납니다.Volatility Foundation Volatility Framework 2.4*** Failed to import volatility.plugins.mimikatz (ImportError: No module named construct)*** Failed to import volatility.plugins.linux.netscan (ImportError: No module named yara)Traceback (most recent call last): File "C:\Vol\vol.py", line 192, in <module> main() File "C:\Vol\vol.py", line 169, in main config.parse_options() File "C:\Vol\volatility\conf.py", line 262, in parse_options self.optparser.print_help() File "C:\Vol\volatility\conf.py", line 97, in print_help optparse.OptionParser.print_help(self, file) File "C:\Python27\New Folder\lib\optparse.py", line 1664, in print_help file.write(self.format_help().encode(encoding, "replace"))UnicodeDecodeError: 'ascii' codec can't decode byte 0xc8 in position 596: ordinal not in range(128)어떻게 해결할수 있을까요? 

Temp폴더 안에서 악성코드를 찾는 이유와 dll파일이 악성코드인 이유좀 알려주세요

CMD를 보고 악성코드로 의심하시는데 어떤 근거가 있는지 설명이 부족해요. 왜 CMD를 악성코드로 의심했는지와 어떻게 프로세스의 부모,자식이 있는지 확인하나요?

메모리 포렌식을 할 때 분석을 위해 volatility를 사용하는데, 입문자로서 너무 바로 접근하기에 어려움이 있습니다. 강의에 조금더 많은 설명이 필요할 거 같아요.

부모가 없는 프로세스는 왜 악성인지도 모르겠고 어떻게 부모가 없는지 한번에 알았어요?

우선, 강사님께서 좋은강의 및 좋은 실습자료 들을 제공해주신덕분에날이갈수록 분석하고 답안작성하는 부분에 있어서 발전하고 있는것이 체감되고있어서감사드리는 마음으로 수강중입니다! 다름이아니라, 실습시나리오 3회차의 "보낸파일.pdf" 와 건축계획서.hwp"간의 연관성을 찾을때file metadata 에서 볼수있는 "파일용량" 을 근거로 하는것 이외에도text항목>>extracted text 에 나오는 정보들 중에 METADATA라고 보이는 항목 또한 근거로하여"동일파일로 추정된다" 는 결론을 내려도 괜찮은 부분일지 여쭤보고싶어서 문의글 남겨드립니다! ▶질문요약: text항목>> extracted text 에 출력되는 METADATA 정보를 근거로 하여"보낸파일.pdf" 와 건축계획서.hwp" 이 동일한 파일로 추정된다 는 결론을 내려도괜찮은 방법인지 궁금하여 질문드립니다 ▶분석도구(버전)정보 :Autopsy 4.21.0 ver▶보낸파일.pdf 에대한 text항목>>extracted text 에 들어있는 METADATA 내용------------------------------METADATA------------------------------ Author: B의원 Comments: Content-Type: application/x-hwp-v5 Creation-Date: 2022-09-01T06:05:47Z Last-Author: admin Last-Modified: 2022-11-11T06:43:58Z Last-Save-Date: 2022-11-11T06:43:58Z X-Parsed-By: org.apache.tika.parser.DefaultParser comment: cp:subject: creator: B의원 date: 2022-11-11T06:43:58Z dc:creator: B의원 dc:title: 건축계획서 dcterms:created: 2022-09-01T06:05:47Z dcterms:modified: 2022-11-11T06:43:58Z meta:author: B의원 meta:creation-date: 2022-09-01T06:05:47Z meta:keyword: meta:last-author: admin meta:page-count: 0 meta:save-date: 2022-11-11T06:43:58Z modified: 2022-11-11T06:43:58Z title: 건축계획서 w:comments: 이상입니다! 열심히 배우고 익혀서 자격증 취득 외에도 추후 계획중인 수사업무에도움 될 수 있도록 하겠습니다 감사합니다

안녕하세요 선생님 이번에 다시 시나리오를 풀어보면서 한 가지 궁금한 점이 있어서 질문을 드립니다.8번문제의 해당 볼륨의 총 섹터 수를 구하는 것에 대한 것입니다.제가 알고 있기로는 볼륨과 파티션의 차이는 파일시스템이 있는 파티션을 볼륨이라고 부르는 것으로 인지를 하고 있습니다.그래서 저는 OS[NTFS]를 볼륨으로 인지하고 "총 클러스터 수 * (클러스터 당 용량 / 섹터 당 용량)"으로 구하려고 해서 (786,431 + 456,456) * (4096 / 512)를 해서 구하려고 했지만 답은 Partition 1을 클릭했을 때 나온 섹터 카운트인 6,291,456이었어서 이게 왜 다른걸까 생각을 해보았을 때볼륨 자체가 파일시스템이 있는 "파티션"이기 때문에 Partition 1의 총 섹터 수를 쓰신 것인지 궁금합니다.  위 내용이 만약 맞다면 OS[NTFS]에 있는 내용은 무엇을 의미하고 왜 총 섹터 수가 다르게 되는지 궁금합니다. 긴 글 읽어주셔서 감사드리고 지식 전수를 해주셔서 감사합니다.

강의 자료 샘플을 (1) 부터 (4) 까지 다운로드하여 수업을 진행하시면 됩니다. 라고 되어 있는 데  설치 방법에 대한 자세한 설명필요합니다.

homebrew 어떻게 설치하나요

 6강을 듣다가 FTK imager를 다운로드 받고 진행 중.. Creat Image 에서 Add를 누르고, 'E01' 선택 후 browse에서 바탕화면 클릭, image filename에 'image'라고 기입 후 fragment size 0으로 누르고 'finish'를 누르면 아래 밑에 안내창이 뜨면서 진행이 안됩니다.. 원인을 알 수 있을까요 ㅠㅠ""The image dstination cannot be on the disk being imaged"" tistory 올려주신곳에서 드라이브 파티션도 나누었는데 똑같아요