안녕하세요, 강의 정말 잘 들었습니다!강의 듣던 중 memdump와 dumpfile의 활용이 살짝 헷갈려서 질문 드립니다주로 파일로만 추출할 때는 dumpfile을 사용하고, 파일 내용 안에서 검색할 문자열이 있을 경우 memdump를 사용하는 건가요..?정확히 언제 사용하는 건지 설명해주실 수 있나요?

강의한 PPT 파일 어디서 다운로드 받아볼 수 있나요?

안녕하세요! 질문이 있습니다!(우선 1~3번 질문의 경우 너무 기초적인 질문이라 죄송하다는 말씀드리며 시작합니다) 순서관련증거물이 담긴 USB를 연결하기 전 무결성 유지를 위해 '쓰기방지', '자동실행 OFF' 등을 먼저한 후증거물 USB를 연결하고 이미징 작업 진행, 이미징 작업 완료 후 증거물 USB 제거 및 쓰기방지 해제.이 순서가 맞나요? 이미징 할때 처음에는 E01 형식으로 이미징 하고 파티션 등 복구가 필요할 경우 다시 raw(dd) 형식으로 이미징하자고 하셨던 것 같은데시간관계상 처음부터 E01 형식이 아닌 raw(dd) 형식으로 이미징하고 진행해도 크게 상관 없을까요? 분석도구로(AUTOPSY) 분석할때는 어떤 형식의 이미징파일로 진행하는게 맞을까요?(강의에서 봤던것 같은데 기억이..죄송합니다) 4. 시험현장에서 Registry Viewer 혹은 레가를 이용하여 레지스트리를 수집하고자 할때 어떻게? 어떤 파일?을 오픈해야하나요?(질문이 광범위해서 죄송합니다)5. BCWIPE를 이용하여 삭제한 경우 "BCWipe는 어떠한 데이터가 저장되었는지 알 수 없도록 하기 위해 MFT 영역의 Flag 및 Name을 변형하였다. NTFS 파일시스템에서 삭제된 파일의 Flag 값은 ‘0x0000’인데, BCWipe는 Flag 값을 ‘0x0200’(디렉터리 파일)으로 변경하였다. 삭제된 파일 Name의 경우 파일 Name 값에 ‘~BCWipe.tmp’값을 기록하였다. 때문에 Name 값 분석을 통해 BCWipe의 사용 여부를 알 수 있다."위 문장과 관련하여 혼자 연습해보는데 플레그 값의 위치는 어디인지.. Name 값은 어디있는지 찾을 수가 없더라구요.. 알려주실 수 있을까요? 

AUTOPSY 최신 버전(4.21.0)의 문제인지, 제 PC 설정의 문제인지 몰라서 추가 질문 드립니다. 시나리오3-문제10- 증거 USB 모델명 관련 해서 Device Model이 강사님 답처럼 Ultra Flair가 아닌 Product Number로 조회가 되는데, 혹시 따로 추가적인 설정이 필요할까요?

안녕하세요! AUTOPSY로 학습간 질문이 있어서 문의드립니다.1. Run Ingest Module - Extension mismatch Detect에서Skip files without extensions + Skip known files이 결과값에 미치는 영향과 체크를 해제할 필요는 없을까요?Skip files without extensions은 직관적으로 이해가 되는데 Skip knoww files의 의미를 잘 모르겠습니다.2. Run Ingest Module - Keyword Search 에서 현재 최신 버전(4.21.0)에는 Add text to Solr Index 라는 체크하는 곳이 생겼습니다.이거를 체크해야 키워드 서칭이 되는 것 같은데, 강의에는 없는 내용이다 보니 질문드립니다.3. ftk imager에서 Recovered라고 뜨는 파티션의 경우 Encase에서는 프로그램 내부에서 별도의 작업을, Autopsy에서는 추가적인 작업은 필요없다고 하셨지만, 실제 hxd로 복구해보려면 어떻게 해야할까요?시나리오2 기준으로 3번 파티션의 스타팅 섹터와 섹터수를 16진수 값으로 변경해서 넣어보고 encase에서 열어봣는데 그것만으로는 되는 것 같지 않아서 문의드립니다.

안녕하세요!또 질문드리네요 ㅎㅎ 항상 친절하고 자세하게 답변해주셔서 너무 감사합니다!1.  비트락커 설치 및 제공이 안되는 윈도우버전밖에 없을경우 연습해볼 수 있는 방법(개인 컴퓨터가 윈도우11Home버전이라.. 연습해볼 방법이없어 답답하여 질문드립니다)2.스태가노그래피 관련 파일 하나하나 분석하는 방법 이외에 빠르게 찾을 수 있는 방법(예를 들어 특정파일의 크기가 다른 파일에 비해 비정상적으로 크다던가..특징..?)3. 특정 경로에 있어야할 폴더 및 그 폴더 안의 데이터들이 없을 경우 찾는 법..?(예를 들어 user/appdata/roaming/‘찾고자하는 폴더’ 인데 폴더가 없고 옵토시 삭제파일에서도 찾을 수 없는경우..)4.sha1 해쉬값을 오톱시에서 검색하는 법?(오톱시에서는 md5, sha256 밖에 검색이 안되는 것 같은데 해결책이 있을까요?)5.특정 hex값을(시그니처 훼손 등)오톱시에서 따로 검색하는 법이 있나요?질문이 많아서 죄송합니다!

안녕하세요. 강의 잘 듣고 있습니다. autopsy를 통해 시험을 준비하려고 하는데, 강의에서 알려주신 분석항목을 설정해서 이미지 분석을 돌렸을 때 시간이 얼마나 걸렸다는 내용을 들으신게 있으실까요? 아무래도 실제 문제는 예제 이미지보다 시간이 더 걸릴 것으로 예상되는데, 그 부분이 가장 불안하네요...ㅠㅠ

제가 포렌식협회에서 9월에 만든 문제집을 샀는데 요약집에 없는 내용이 문제로 출제가 되는거 같은데 이런부분은 어떤식으로 공부를 해야 맞는 방법이죠?? 요약집은 5과목에 포렌식 기초 실무 내용이 없는거 같아서요

강의 듣다 보면 파일을 올려주신다고 하시는데 그 파일은 어디에 올려주시는지 알 수 있을까요?FTK imager 파트 쪽 듣고 있습니다.

세션 2 OlympicDestroyer 영상을 보면서dumpfiles나 procdump로 만든 메모리 덤프와 실행파일들을 strings 하고 있는데요이 파일들을 열어봐도 영상에 나오는 공격 스크립트가 보이지 않습니다.파일 용량 자체도 영상에서 보이는 것보다 훨씬 적어 보입니다. 절반 이하 정도...?이전 문제에서도 strings 한 파일에서 제대로 데이터가 쓰여 있지 않았는데 무슨 문제가 있는 걸까요?

안녕하세요!얼추 큰틀은 잡고 공부를 하던 중 궁금한 점이 있어 질문드립니다! 한국포렌식학회에서 제공하는 실습파일(3.3)에서 매체정보에 대해 기술하는 문제가 있습니다. 섹터 당 용량, 클러스터 당 섹터 수 등은 전부다 배운대로 하니 잘 맞는데 유독 디스크 전체 용량만 숫자가 계속 다르더라구요.. 총 용량(디스크 전체 용량) = NTFS = 총 섹터수 X 섹터당 용량 - 클러스터 용량(크기)FAT32 = 총 섹터수 X 섹터당 용량 - (4096X1024) 위의 공식이 배운 내용인데 이대로 계산하면 숫자가 조금씩 달라서 왜 그런지 궁금하여 질문남깁니다! 그리고 혹시 한국포렌식학회에서 제공하는 실습파일(3.3) 풀어보셨었는지 모르겠는데 위의 실습파일을 분석하던 중 0608_.hwp 와 923.hwp 이 두개의 파일 내부의 내용을 확인할 수가 없더라구요..(삭제된 파일이라 추출 후 헤더도 맞고 확장자도 맞게 열어도..) 이런경우 내부의 내용을 어떻게 확인하는지 알려주실 수 있을까요?(질문이 총 두가지인데 답변 남겨주시면 너무 감사하겠습니다!)

c드라이브에 있던 걸 usb에 이미징하고 마운트하려고 하는데 f드라이브를 포맷해야 한다고 뜹니다. 어떻게 해야 할까요?

경찰과 검찰 형사소송법이 변경된 걸로 알고있습니다. 311조~316조 증거 채택여부 따라에 달라지는 혹시 최신 판례나 최신 관련으로 들어야합니까?  

우선 좋은 강의 제공해주셔서 감사합니다.질문 내용은MD5 해시와 SHA 해시의 차이점이 무엇인지 궁금합니다!

안녕하세요. 교수님.교수님 강의를 잘 듣고 있습니다.질문드립니다.EnCase 기능중 분석을 위한 Acquire 와 Process가 있습니다.Acquire는 이미징을 위한 E01을 생성하면서 분석을 같이 진행Precess는 E01등의 파일을 분석하기 위한 기능이렇게 생각하면 되는지 궁금합니다.만약에 맞다면 Acquire의 기능중 무결성이 유지가 되는지 그 밖에 이기능의 차이점이 궁금합니다.

강의 천천히 따라가면서 실습을 위한 환경설정을 위해 volatility을 설치했는데 실행시 아래와 같은 오류가 출력되면서 창이 종료되는 현상이 발생합니다. 아래 오류는 어떻게 해결해야 되나요?ERROR : volatility.debug : You must specify something to do (try -h)

안녕하세요! 훈지손님 필기 요약본을 열심히 공부하여 덕분에 2급 필기에 붙은 학생입니다.실기 공부를 해야하는데 너무 막막해서 수강신청을 하게 되었습니다.이 강의를 다 듣는다면 실기 시험에 도움이 될까요? 도움이 된다면 합격선에 어느정도 들어갈 수 있는지 궁금합니다!어려운 질문을 드려 죄송해요 혼자 공부하고 있는데 자료도 너무 없는지라 이렇게 질문 드립니다...

안녕하세요 이번에 디지털포렌식전문가 2급을 따기 위해 공부하기 시작한 학생입니다.다름이 아니라 올려주신 자료로 따로 공부를 하면서 블로그에 정리를 하고자 하는데 혹 이것이 문제가 되지 않는지 여쭙고자 글을 올립니다.

안녕하세요.먼저 말씀하신대로 굉장히 불친절한 자료들로 인해 차일피일 자격증을 미루다가 X버는 승리한다고.. 이렇게 좋은 자료를 내 주셔서 대단히 감사합니다.다름이 아니라 아래와 같은 내용 수정이 필요할 것 같아 의견을 올립니다. Page 89 (속성 관련 내용)현재 : 속성의 개수를 '카디널리티'....변경 필요 : 속성의 개수를 '차수'.... 감사합니다.  

윈10 기본 제공 터미널(powershell)이랑 스토어에서 다운받은 terminal이랑 차이가 있는 건가요? 굳이 다운로드 받지 않아도 파란색 터미널과 같은 기능을 제공하는건지 궁금합니다!