인프런 커뮤니티 질문&답변

mmshk1님의 프로필 이미지
mmshk1

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

[Autopsy]실습 시나리오 풀이 3-2

사본 이미지 생성관련 하여 문의

해결된 질문

작성

·

384

0

강의는 잘들었습니다.

사본이미징생성은 잘이해 하였는데요..

제가 가지고 있는 USB를 증거원본 USB라고 가정하고

FTK이미징을 활용하여 이미지 생성(E01) 하고, txt파일에 md5, SHA1값이 있는데요..

법이론과 공부하다 보니까 Hash값이 동일한 것을 입회인에게 확인 받으라고 하는데.. 그러면 원본(제가꽃은 USB)의 해시값이 일치하다는 것을 어떻게 피압수자에게 보여주는지요?

제가 꽃아서 가정한 원본USB에서 확인 하는 방법은 무엇인가요?

 

이상한 질문인지 모르겠네요...

 

 

 

 

답변 1

0

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 mmshk1님!

시험이아닌 실무에서의 상황을 말씀하시는거죠?

말씀하신대로 실무에서는 이미징을한 후 해당 증거 usb등의 해시값을 산출하여 입회인등에게 확인시켜준후 확인자의 서명날인을 받습니다.

그때 확인하는 해시값은 일치하다는걸 보여준다기보다는 이 증거매체 또는 파일의 해시값을 산출하니 이렇게된다라고 기록을 남기는거고요, 그 해시값이 적혀있는 증거수집목록을 교부하게됩니다.

비교가 필요한경우는 후에 법정에서 증거의 변조가 의심될경우 다시한번 해시값을 산출해서 처음 이미징시의 해시값과 동일한지 비교하여 동일하다면 변조되지 않았음을 입증하는 경우라고 생각하시면 될것같습니다.

정리하자면 피압수자등에게 해시값을 비교하여 동일하다는걸 확인시켜주는게 아닌, 산출된 해시값을 확인시켜주는 과정이라고 생각해주세요~

우리 시험에서는 이러한 과정이 없기때문에 증거사본을 생성하고 무결성을 입증하라는 문제에 생성한 이미지파일명과 산출된 해시값을 적고, 무결성 유지를 위해서 어떤 과정을 거쳤는지 기술하는 방법으로 문제를 해결하실수 있습니다~

추기로 궁금하신 부분이 있으시면 언제든지 다시 질문 주세요~ :)

 

 

 

mmshk1님의 프로필 이미지
mmshk1
질문자

이해가 잘되었습니다^^

mmshk1님의 프로필 이미지
mmshk1

작성한 질문수

질문하기