오늘자 구매했습니다. 질문이 있어서요. 밑에 읽어보니 요약집 새로 수정해서 최신판(갱신) 올려주시나요??혹시 실기도 가르치시나요..?아울러 실기 무료 기초 강의도 듣겠습니다 감사합니다

.img 파일과 .dat 파일 둘 중 어느 것을 선택해 strings를 돌려도 상관없는지 궁금합니다.수업 때 두 파일은 덤프 방식이 다르다고 하셨는데 결과값은 같은지도 궁금합니다!

USB.001 파일 다운로드 링크 클릭 및 다른 탭에도 해봤지만 요청한 파일이 없다고 뜨는데 확인해주실수 있나요,,,?

안녕하세요 강사님 ! 제가 강의를 들으면서 공부했던 내용들을 노션에 정리를 하면서 복습하고 있습니다. PPT에 있는 그림도 캡처해서 넣으면서 공부를 하고 있는데, 이렇게 작성하면서 복습해도 괜찮을까요? 저작권 문제가 있을 것 같아서 문의드립니다 !

제 부모님 영상인데 삼성 보안 폴더에 넣어 두었다가 필요 없다고 생각되어 삭제 했었습니다. 그런데, 다사 복구하고 싶어 졌어요.... 그런데 이미 보안 폴더를 한번 삭제 했던 터라 조금 걱정 되네요... 이 커리큘럼을 통해 복구할 수 있을까요...?

안녕하세요 강사님. 이번 22회 실기 관련해서 문의드리고자 합니다.처음 나눠준 usb를 복구하면 내부에 E01 이미지 파일이 있는데 그것을 추출해서 FTK imager와 Autopsy로 열고자 하였는데 열리지 않아 HxD로 확인해 보니 해더 부분은 E01파일 이 맞는 것을 확인했습니다..혹시 다른 어떤 조치를 취하고 열었어야 했는지 여쭙고자 합니다. 아직 공부 기간이 길지 않아 이 부분조차 해결하지 못하고 돌아왔네요

안녕하세요 강사님 문의드리고자 글 작성합니다!  실험장에서 쓰기방지 안한채로 usb꽂으면 그대로 실격일까요 아니면 해결방안이 있을까요?혹 정말 법정증거용으로 제출해야 할 일이 생길시 쓰기방지 안하고 작업, 증거제출시 구제방안이 없는걸까요?  

안녕하세요디지털포렌식 2급 실기 20회는 법이론 문제 출제되지 않았다고 하셨는데 21회는 출제되었나요?이번에 22회 실기 시험보러 가는데 법이론 문제도 준비해야되나 해서요

안녕하세요.21회때 실기를 처음 쳤었는데요. 마지막 문제가 보고서를 작성하시오였던거 같습니다.갑자기 아무런 폼도 없이 보고서를 작성하라고 나왔길래 머라고 적어야할지 감이 안왔는데혹시 어떠한 식으로 적으면 좋을지 예시를 알려주실수 있으실까요?

강사님 안녕하세요, 문제 풀이 중, 이제 증거 사본 생성 과정 등은 잘 작성하고 있는 중, 의문이 생겨서 질문드립니다!문제 사항 중, "증거사본 이미지를 첨부할 필요 없다"라는 구문이 확인 되어 .E01 이미지를 FTK Imager로 생성하지 않고, .raw(dd)를 바로 생성하였습니다.이 경우에 문제에서 증거 사본 이미지 생성 절차 등 관련 정보를 작성하는 중에 Hash 값을 작성해서 첨부를 하려는데 그냥 .raw(dd)이미지 생성 시, 산출된 logfile에 적힌 Hash(MD5, SHA1)의 CheckSum 값을 그대로 작성해서 기입해도 되나요?아니면, E01 이미지를 생성한 후, 해당 해시값을 첨부를 해야하나요? (과정 진행은 잘 하고있는데 해당 부분이 의문이 생겨서 문의 드립니다!)

안녕하세요.  [공통] 네트워크정보 확인(+한글파일의 내부구조 확인) 강의 수강중 궁금한게 있어 질문드립니다. 1:15:58에 SYSTEMTIME Structure(128bit) (UTC) SYSTEMTIME Structure(128-bit)의 timestamp를 보면UTC랑 UTC+9로 같은 시간을 나타내는 것 같은데 (UTC)로 써야하는 이유가 뭔지 궁금합니다! 9시간을 더하지 않은 (UTC)시간이 이미 rega에서 9시간이 더해진 시간이라서 위에꺼를 쓰는건가요?

강사님 유익한 강의 정말 잘 듣고 있습니다.비트라커 실습파일을 마운팅시켜 암호 해제하고 이미지를 만들면 원래 실습 파일하고 해시값이 틀리게 나옵니다. 암호만 해제한 상태로 해시값 변동없이 이미지를 복제 하려면 어떻게 해야하나요?  

안녕하세요. [공통] 2급 21회 시험 리뷰 강의 수강중 궁금한게 있어 글 남깁니다. 가상화 파일 분석 방법 중 1. ftk imager로 필요한 파일을 추출해서 분석 2. 가상화 프로그램으로 로드해서 분석 3. 가상화 파일을 raw 파일로 변환후에 분석툴에서 분석  [질문1]예를들어 윈도우 shutdown 날짜를 확인하기 위해 레지스트리를 분석한다고 하면 방법 1인 ftk imager에서 하이브 파일을 추출해서 rega로 분석하는 경우와 방법 2인 vmware를 이용해서 가상머신으로 직접 들어가서 가상머신내 로컬에서 레지스트리 편집기에 들어가서 해당 정보를 확인하는 경우와 결과가 같은걸까요? [질문2] 만약에 두번째 분석방법을 선택한 경우에 증거 파일을 찾는 과정에서 vmware를 이용하여 로드한 이미지파일(vmdk)로 직접 접속해서 이것저것 열어보면서 증거를 찾아간다고 했을때 이미지 파일이 손상되는? 무결성이 깨지는..?(파일 접근 시간 등) 문제는 없는건지 궁금합니다. [질문 3] 만약에 문제가공모시에 이메일(아웃룩) 통신을 하였고 사용자(용의자)의 통신 IP를 물어보는 거라면 어디서 어떻게 확인할 수 있는지 궁금합니다. 감사합니다.

양질의 강의 항상 감사드립니다 강사님! NTFS 파티션의 BR 복구 보충강의 관련하여 마지막에 보여주신 꼬아놓은 이미지 파일 공유가 혹시 가능할까요?만약에 이런 문제가 나오면 멘붕이 올 것 같아 연습 한 번은 해보고 싶어서 요청드립니다ㅜㅜ! 

강사님 강의를 본 후, 다른분 문제를 추가로 풀다가 제가 강사님께 배운 기준으로 했을 때 답과 출제자 분의 답이 조금 달라서 질문 드립니다출제자 분이 낸 문제는 파일시스템 별(문제에는 NTFS와 FAT32 두가지 존재) 전체 용량 및 가용 용량을 구하는 문제였습니다1) NTFS의 전체 용량은 강사님이 설명해주셨던 기준으로 제가 기억했을 땐 파티션 총 용량이 (Byte Per Sector * Sector Count) - 40962) FAT32는 (Byte Per Sector * Sector Count) - (4096 * 1024)- 위 방식으로 계산해야 파티션 총 용량이 구해지는 것으로 기억하고 있습니다만 이게 파일 시스템의 총용량을 구하는 것과 파티션의 총 용량을 구하는 것이 다를까요?...출제자 분이 문제에서 총 용량은 파일 시스템 유형 구분 없이 (Byte Per Sector * Sector Count)로 답을 바로 작성해버려서 확실히 하기 위해 질문 드립니다!그리고 추가적으로 가용 용량 구하는 방식은 해당 파티션의 Cluster Size * Cluster Count가 맞을까요?

안녕하세요? 실기 준비를 하는 직장인입니다. 우선 강사님께 너무너무 감사드립니다. 이번 실기 시험이 처음이고 방법도 몰라 포기하고 있었는데 우연히 강사님 강의를 찾고 너무나 좋았습니다. 다름이아니라 시험대비 법이론(강의자료는 다운 받았씀) 정리본과 설명하시는 실기 자료(이미지 등) 를 다운로드 할수 있을까 해서 문의를 남기게 되었습니다. 강의대로 따라서 하는데 자료가 있었으면하고, 법이론 설명시 하신 시험에 바로 사용할수 있는 자료도 꼭 필요해서 말씀드리게 되었습니다.  

- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.페러렐즈를 이용해서 환경 그대로 했는데 왜 저는 안되는걸까요 ? ..

현재 토렌트 분석 강의를 듣고 있습니다그런데 실제 시험장에서 사용할 도구중에 BEncode Editor 항목이 없더라구요시험장에서 쓸만한 분석 프로그램이 HxD 외에 더 있나요?

다름이 아니라 비트라커가 시나리오상 적용되어 있는 이미징이 있다고 가정하면, 비트라커 이미지 원본 자체도 증거 무결성이 유지되어야 한다고 생각하는데, FTK Imager에서 Mount Image To Drive로 마운트 할 때, Mount Method를 Block Device / Read Only (기본값)으로 설정하여 적용해서 마운트 한 뒤, 복호화 키를 사용해서 비트라커 매체에 접근이 가능해진 상태에서는 BitLocker 끄기를 하면 읽기 전용 매체라는 팝업이 나오고 꺼지지 않습니다즉, 해당 비트라커가 적용된 이미지의 BitLocker를 끄려면 FTK Imager에서 마운트 할 때 애시당초 Read Only가 아닌, Block Device / Writable 상태에서 마운트 후, 복구 키로 락을 풀고서 비트라커 기능을 끈 후, 이미징을 해야 정상적으로 내용이 출력되더라구요이런 경우 제가 잘 몰라서 읽기 전용이 아닌 쓰기 가능으로 설정한 상태로 마운트를 해야하나요? 아니면 비트라커가 적용된 증거 이미지를 복사 후, 해당 원본은 두고 복사된 파일을 가지고 수행해야하나요?

기존에 Autopsy configuration ingest에서 Extension Mismatch Detector에 application/x-hwp-v5에 hwp만 추가하여 넣었는데, 타 파일들은 docx, pptx 등 x 확장자가 추가로 있다는게 생각이 나서 질문드립니다혹시 hwpx를 넣어놔도 무방할 것 같은데 동일하게 application/x-hwp-v5에 hwpx를 추가해도 될까요? (등록 테스트하니 등록은 잘됩니다만 문제가 있을지를 몰라 문의드립니다)