문제풀이 과정에서 몇가지 궁금한게 있어요. 유출된 파일을 찾으라거나 특정 md5값을 가지는 파일에 대한 문제나 이런것들은 autospy에서 파일 수집 해서 문제풀이 폴더로 옮겨야하는걸로 확인했는데 그 이외 다른 문제들은 어떻게 해야하는건지 궁금해요1. 증거사본 이미지를 생성하고 무결성을 입증하시오.해당 문제는 FTK imager을 통해서 사본 생성 후 해당 파일을 복구 및 위변조 없이 그대로 문제풀이 폴더에 저장하면 되나요?? 2.수집한 증거 USB를 복구하고, 복구방법에 대해서 상세히 기술하시오1번에서 수집한 사본이미지를 hex 도구를 이용해 복구 후 FTK Imager에 올려 정상 복구된것을 확인하고 복구 완료한 이미지 파일을 문제풀이 폴더에 저장하면 되나요?? 3.수집한 증거 USB 매체 볼륨 중 운영체제가 설치된 볼륨의 ① 파일시스템의 종류 ② 총 용량 ③ 총 섹터수 ④ 클러스터의 크기를 기술하시오FTK Imager에서 운영체제가 설치된 볼륨만 export해서 문제풀이 폴더에 저장하면 되나요??

안녕하세요!  여태까지는 원본이있으면 원본을 대상으로 e01 이미징한다 > 복구해야할 경우 dd파일로 재이미징.이렇게 생각하고 있었는데요. exfat 추가강의영상을 듣고나니 용량문제로 e01으로 뜬 이미지파일을 올렸으니 이걸 raw파일로 이미징해서 사용하라고 말씀하신걸 봤습니다. 생각해보니 시험장에서도 요즘은 이미징된 형태로 이미지 사본을 준다는 걸 강의에서 들은것같아서, 궁금한것이 1) 시험장에서 제공되는 파일은 (이미징파일을 줄경우) e01을 주는게맞나요?2) e01으로 열어봤는데 파티션이 손상되었을경우 ftk imager에서 creat disk image 후 원본 매체 image 선택 - 제공받은 e01 선택 - 이걸 dd포맷으로 다시 재이미징하는게 맞나요?3)이해한게맞다면, 어떻게 원본이아닌 e01으로 압축된 이미지를 dd(raw)포맷으로 재이미징?변경될수있는것인지 궁금합니다..  

EnCase를 사용하지 못하는 환경이고, 시험장에서 제공되는 프로그램만을 활용하여 한글파일 내부구조를 확인할 수 있는 방법이 있을까요?

BitLocker 실습 도중 FTK Imager에서 'Add Drive Failed' 오류 발생 하였고,탐색기 확인 결과 FAT32로 G드라이브 생성되었습니다. (안에 내용은 없음)*E01, 001 파일 모두 동일  그리고 저는 말씀하신 HxD에서 193,854 뒤 내용이 없습니다.   

안녕하세요. 보충 강의 Bitlocker 수강 중 실습과정에서 문제가 생겨 질문 드립니다.강사님이 영상에서 짚어주셨던 내용 그대로 진행하였음에도 불구하고 FTK Imager에서 이미지 생성 시 배드섹터가 발생해 내부 파일이 보이지 않는 문제가 있습니다. 실습 과정은 아래와 같습니다.실습 이미지를 FTK Imager에서 오픈(Image File로 선택하여 오픈)이미지 마운팅을 위해 [Evidence Tree]에서 해당 이미지 파일 우클릭 -> [Image Mounting]마운팅 관련 옵션을 영상과 동일하게 설정한 뒤, 마운트 버튼 클릭(이때 영상과는 다른 오류가 발생하며 윈도우 경고 메세지 출력. 하단에 사진 첨부)마운트된 파티션의 bitlocker 복호화 수행(복구키만 입력, bitlocker를 끄진 않음)복호화가 완료된 파티션을 FTK Imager에서 [Logical Drive]로 선택하여 이미지 재생성Bad Sector로 인해 내부 파일이 보이지 않음 트러블 슈팅중 시도해본것들은 아래와 같습니다모든 파일의 경로에서 한글을 제외이미지 재생성 시 Physical Drive로 선택관리자 권한으로 FTK Imager 실행복호화가 완료된 파티션의 bitlocker 기능을 끄고 이미지 재생성이미지 생성 시 DD파일, E01파일로 생성(둘다 동일하게 배드섹터 발생)이미지 마운트 시 쓰기가능으로 설정하여 생성위와 같은 시도에도 불구하고 모두 배드섹터 발생하였습니다.아래는 실습 과정 3번에서 발생(이미지 마운팅 중)한 오류화면과 배드섹터 오류 로그입니다.  뭐가 문제일까요 ㅜㅜ 

안녕하세요~ 자꾸 질문드려 죄송합니다. 실습 시나리오4에서 어느 파일을 추적하면서 NTFS Log Tracker로 확인한 debug.txt 파일에 대해서해시값을 작성하려고 메타데이터를 봤더니, 아래와 같이 해시값이 확인이 되지 않습니다.혹시, 확장자가 변조(docx->txt) 되어서 그런 걸까요? 그래서 HashCalc를 사용하였더니 해시값이 나왔는데, 이 값을 작성하면 될까요? NTFS Log Tracker를 사용해서 확인해야만 하는 상황이 어떤게 있을까요? 생각보다 시간이 오래걸려서 보편적인 방법으로도(시그니처 훼손, 확장자 변경 등) 파일 확인/추적이 안될 시 사용하는 걸까요?  

안녕하세요,시나리오 4에서 알려주신 방법대로, vmdk 파일을 FTK Imager로 raw 파일로 이미징하여도 오톱시에서 아래와 같이 오류가 나옵니다.혹시 조치 방법이 있을까요? (경로 문제 등..)FTK Imager에서는 파일시스템 잘 보입니다.  FTK Imager로 Raw로 이미징 

안녕하세요. 시험을 앞두고 궁금한게 있어서 질문드려요. 다음과 같은 순서로 진행하면 될까요???1) 쓰기 방지 설정2) 증거 USB 연결 후 사본 생성3) 사본생성 완료 후 증거 USB 분리4) 쓰기방지설정 해지5) 분석 진행

안녕하세요,  NTFS 파일 시스템 복구시 BR복사본 위치는 (파티션섹터 마지막에 존재) BR위치 + NTFS 전체섹터 크기 -1 이라고 강의에서 알려주셨는데, *이때 NTFS 전체섹터크기는 MBR 확인 MBR이 없는경우 NTFS 전체섹터의 크기는 어떻게알수있을까요? 피피티를 보다 궁금증이 생겨 질문드립니다! 감사합니다:)

안녕하세요 USB 관련해서 시리얼번호 작성할 때ex) 1234567891234&0 인 경우,&0까지 작성하는 것이 맞을까요? 아니면 숫자부분만 작성하는 게 맞을까요?

Volume Shadow Copy관련하여 추가강의 혹시 부탁드려도 될까요

제목과 같이 23회 실기시험 도구 목록에 veracrypt, VMware가 없을 때,이미징한 파일 중 hc 파일이 나올 확률이 있을까요?  시험장 노트북 로컬 바탕화면은 물론, VM이 설치가 안되어 있으니 VM을 이용할 문제도 안나온다고 봐도 될까요?

안녕하세요실습파일 용량 제한으로 인해 6개로 나눠서 업로드해주셨는데,7z로 되어있는 6개의 압축 파일을 어떻게 해야 1개 파일로 합칠 수 있는지 문의드립니다 ㅠㅠ예를 들어 수사관의 usb를 모두 압축 해제해서 아래와 같은 파일이 6개 나올텐데 한 폴더 안에 모두 넣어서 해야 하는건지 잘 모르겠습니다..     

선생님 안녕하세요. 항상 좋은 포렌식 강의를 찍어주셔서 정말 감사합니다. 다름이 아니고 파티션 복구와 관련한 질문이 있어서 질문 글을 남기게 되었습니다.강의를 보면서 21회차 시험에 MBR대신 GPT로 출제가 되었다고 들었습니다.만약 실제시험에서 GPT로 출제된 상태에서 파티션이 훼손된다면, 기존에 MBR에서 배웠던 대로 복구를 하면 되는 것일까요?따로 개인적인 검색을 통해 찾아보긴 하였으나 GPT 파티션 복구에 대한 내용이 잘 이해가 되지 않아 고견을 여쭤보고 싶습니다.바쁘신 와중에 죄송합니다. 다시 한번 좋은 강의를 찍어주셔서 감사합니다! 

[Autopsy]실습 시나리오 풀이 2-2 중 아래와 같이 궁금한게 있어 질문드립니다. 파일의 시작섹터를 보려고 아래와 같이 FTK Imager에서 확인해보니 시작섹터가 안나옵니다. 하지만, Root에서 우측에 파일을 클릭해야만 제대로 나옵니다.   ※ 개별 파일의 시작 섹터를 확인하려면, 반드시 Root에서 찾아서 확인해야만 하는 걸까요?

실습문제를 더 풀어보고싶던 차에좋은 문제 제공해주셔서 감사드립니다!! 덕분에 아직 부족했던 항목들에대해서연습도 되고, 아직 숙달하지못한곳들 확인할수있었습니다 다름이아니라 제가 3번문제와 관련해서 샘플 찾을때, log tracker를 활용하지않고 풀이했는데 해당방법이 유효한 방법인지 궁금해서 문의드립니다ㅠ *첨부파일 save 되길래, 추출된 파일을 어떻게든 열어보려고 시도하다가 성공했는데 해당방법으로 풀이해도 되는지 궁금합니다!...*풀이과정: 이메일 파일중에 첨부파일을 저장후 열어보려고했으나 오류발생>> HxD이용 시그니쳐 등 분석>>Base64 인가싶던차에 Autopsy의 ,Data Artifacts항목의 이메일 Header 관련 분석화면에서 "content-transfer-encoding: base64" 확인 >> cmd 에 제공되는 certutil 명령어 옵션 -decode 이용해서 복호화시도>> 정상적으로 파일열리는것 확인 *풀이요약: 이메일 첨부파일을 certutil -decode (cmd명령어) 이용해서 파일을 복호화하여 내용확인했는데 유효한방법인지 궁금합니다...실습할때마다 뭔가 놓치는 것들이 한두개보이는것같은데 잘 정리해서 남은기간열심히 준비해보겠습니다 좋은강의 제공해주시고, 질문드릴때는친절하고 상세하게 답변해주셔서항상 감사드립니다!!

안녕하세요, 이제 막 시험준비를 시작한 학생입니다.다름이아니라 autopsy를 이용한 강의를 듣던도중 해당툴은 제공되는 기능이 더적고 이미징시간도 훨씬 오래걸린다는점을 알게되었습니다..ㅠㅠ( 섹션 8 autopsy 1의 이미징돌리는데 30분이지나도 49%입니다..)궁금한점이,섹션8 이미징시간이 원래 이렇게 오래걸리는게 맞나요?23.10월이후 encase 질문은 안받는다고하셨는데(그래서 시험준비시 autopsy를 선택한것이기도 합나다) 그이유를 알수있을까요?제목과 같이, 두개의툴을 모두사용할수있는 상황인데 autopsy와 encase 중 어떤 툴이 더 시험보기에 편한지 궁금합니다.둘다 평소에 사용하지않은툴이고 이제배워나가야하기에 현실적으로 시험에서 더편한 툴을 알고싶습니다!강의에서 최근 사례는 autopsy를 이용한 툴밖에없어서 고민됩니다..ㅠㅠ

우선 시나리오4 만드시고 강의하시느냐 고생 많으셨습니다. 개인적으로 스스로 수준을 검토하고 부족한 부분을 파악하기에 좋은 연습문제였다고 생각합니다. 다시한번 양질의 교육자료와 강의를 주신 강사님께 감사드립니다. 풀이 중 한가지 궁금한 점이 있어 문의드립니다. 시나리오 상 토렌토를 통해 받은 파일 중 첫번째 list.torrent 파일의 확인내용입니다. Log tracker로 확인시 해당 파일은 $RZ42HMH.torrent로 자동변경되어 휴지통으로 들어갔고 이내 삭제되었습니다. 삭제된 파일은 Autopsy 분석 삭제파일에서도 찾을 수 없었습니다.이렇게 삭제된 파일에 대해서는 파일을 확인 할 수 없는 것인지 궁금합니다. 이때 Deleted File에서 복구하여 확인할 수 있는 파일과의 차이점도 궁금합니다.

안녕하세요, 비트라커 관련 마운트 한 드라이브를 로지컬로 이미징하라는 강의는 잘 보았습니다.그러면, 처음에 FTK를 통해 USB를 이미징하는것도 로지컬로 하는 의미인가요? 그거는 피지컬로 하면 되죠???그러니까, 마운팅한 드라이브를 이미징할떄는 로지컬로 하면 되고, 다른 이미징은 피지컬로 하면 된다는 말씀이신가요?답변 부탁드립니다!!

안녕하세요, 이미지 관련해서 좀 헷갈리는 부분이 있어 질문 남깁니다. 최근 시험에서는 실제 증거인 원본 USB를 제공하지 않고,증거 원본을 이미징한 사본 이미지 파일을 담은 (단순 저장용) USB를 제공하는 것 같습니다.이럴 경우 쓰기 방지를 하고 create disk image에서 physical을 선택 하여 imaging을 하는 과정은 필요하지 않고 바로 FTK Imager로 해당 이미지 파일을 열어서 구조를 확인해보는 방향으로 하는 것이 맞을까요?그런데 또 강사님 22회 시험 리뷰1 강의를 보면 (43분 58초) 해당 usb에 대하여 쓰기 방지 절차 진행 후 usb연결 후 이미징을 뜨라고 하셔서 이 부분이 좀 헷갈리네요.. 좋은 강의 항상 감사합니다!