스테가노그래피 확인 관련 문의드립니다.

디포합격하자님 안녕하세요~해당 파일을 확인후 정확히 말씀드려야하는데제가 지금 출장중이여서 직접 확인이 어렵다보니 간단하게나마 말씀을 드리겠습니다. 파일명을 보니 아마 실습 시나리오에 포함된 파일같습니다.Ff d9로 끝난이후 옆을 보면 image UTC 숫자 형태인걸로봐서 아마 시간정보가 기록이 된것 같은데,말씀하신 ff d9이후 값을 다 포함시킬지 여부는 우선 원칙적으로 ff d9가 jpg파일의 eoi이니 그렇게 생각을 해주시고(물론 ff d9가 eoi가 아닌 데이터값이라면 당연히 안되겠죠)헷갈리시는경우, ff d9까지만 잡고 복사 붙여넣기한 파일과 위의 경우처럼 끝에 있는 부분까지 다 포함해서 복사 붙여넣기한 파일을 비교해보시는것도 방법입니다(별다른 상황이아니라면 열리는 이미지는 동일할겁니다) 우선은 내일 시험이 제일 중요하니 시험에서 이런상황이 생길경우 2개의 파일을 만들어서 비교해보시면 될것 같습니다. 모바일로 쓰는거라 자세히 쓰기가 어려워서 답변이 조금 부실할수도 있을것 같은데 양해 말씀드립니다 ㅜㅜ

보고서 정리

안녕하세요 yhoon047님!질문주신 순서대로 답변 드릴게요~ 1.단답형 문제의 답안 작성문제에서 요구하는 답만 작성을 하셔도 큰 문제는 없습니다.(예) 문) 총 섹터수를 구하라 > 답) 1,000,000 개문) 운영체제 설치일은 언제인가 > 답) 2025.6.10.단 이렇게 답만을 기재하는것은 가장 기본적으로 들어가야할 부분이고, 문제에서 요구하는 답을 찾는 과정을 함께 써주는것은 +α 정도로 생각하시는게 좋을것 같아요.시간여유가 있거나 찾는 과정을 함께 작성하는데 큰 시간이 들지 않는다면 함께 써주는게 가장 좋을것 같고, 시간 여유가 없다면 우선 최소한 문제에서 요구한 답만 작성하는 것으로 방향을 잡아주세요~ 파티션/볼륨 정보의 캡처이미지 네, FTK Imager에서 확인한 propreties 부분만 캡처해서 추가하셔도 문제가 없습니다.다만 이 부분도 1번 질문에서와 같이 조금 더 '티'를 내고 싶다면 hxd에서 해당 값이 어디에 위치하고그걸 확인했더니 어떤 값이 나왔는데 빅엔디안으로 변환해서 확인하면 ~~한 값이 나왔다 라고하는 방법도 있겠죠.이 부분도 최소한 프로그램에서 분석한 내용을 캡처해주고, 나머지는 +α 정도로 생각해주세요 파생증거에 대한 첨부유무1개의 증거를 확인했는데 그 파일을 분석 하면서 그 원 증거파일로부터 추가로 생성되는 등 파생된 증거파일은 함께 제출해주세요!개인적으로는 파생된 증거에 대해서 반드시 제출을 해야할 필요는 없다고 생각하긴 합니다만, 어차피 확인을 위해서 추출한 파일이고 추가로 제출하는데 큰 어려움이 있는게 아니기때문에 이왕이면 같이 제출해주시는것을 권해드립니다.말씀하신 예 처럼 A.jpg라는 이미지를 확인했고, 분석을 해보니 a.jpg 안에 b.hwp 라는 파일을 숨겨놓은 경우, 확인을 위해서 b.hwp 부분을 분리 저장해서 확인을 하겠죠? 그렇게 추가적인 내용이 확인이 됐다면 b.hwp 파일도 증거로 함께 제출을 해주세요보고서에도 이러한 과정을 써주세요~(예: a.jpg 파일을 확인해보니 스테가노그래피 파일로 확인이 되었고, 숨겨진 내용을 분리해서 b.hwp로 저장후 열어서 확인해보니 ~라는 내용을 확인할 수 있었다 + 각각의 캡처 이미지 첨부) 우선 질문주신 내용별로 답변을 드렸는데, 답안 작성에 있어서 공통된 부분을 다시 한번 정리하자면전제 : 채점기준을 정확히 알수는 없지만 디지털 포렌식을 할 수 있는 기본적인 능력을 확인하는 시험이라는 점을 생각해봤을때, 단순히 프로그램에서 분석해준 내용을 답안으로 쓰는것과 프로그램에서 분석해준 내용이 어떻게 해서 그런 값이 나오는지 이해하고 관련 내용을 쓰는것이 추가점을 받을 가능성이 있다고 가정답안은 자세하면 자세할수록 좋습니다.하지만 모든 걸 자세하게 하나하나 다 쓰기에는 시간의 문제가 있으므로 가능하다면 자세히 쓰는게 좋지만 시간을 봐가면서 최소한 정답에서 요구하는 답을 단답형이라도 써주시고 시간이 된다면 추가로 이러한 값을 어떻게 구했는지에 대해서 설명을 해주세요.캡처 이미지는 중요한 부분만 첨부해주세요. 너무 없어도 안되겠지만 그렇다고 너무 많다고 점수를 더 받는건 아닙니다. 핵심적인 부분만 넣어주시는게 여러모로 좋습니다.문제에 '~~ 과정을 기술하라' 식으로 찾는 과정에 대한 언급이 들어갔다면 무조건 전체 과정을 써주셔야합니다. 채점기준이 공개된것이 아니다보니 어디까지나 제 추측으로 말씀을 드리는것 인 점을 감안해주시고요,그래도 이게 기본이 되지 않을까 하는 생각이 듭니다.자세하게 쓰는것도 중요하지만 시간을 봐가면서 완성된 보고서를 제출하시는게 가장 중요합니다 !

혹시 단축키 관련 강의도 찍어주실 수 있으실까요?

안녕하세요 KMS님!죄송하게도 말씀하신 부분에 대해서 현재까지는 별도의 영상 촬영 계획이 없습니다.이 부분은 나중에 기회가 되면 고려해보겠습니다 ㅜ_ㅜ다만 말씀해주신 단축키 외에 시험장에서 도움이 될만한 몇개만 추가하자면(다들 아시겠지만)Win +D - 모든창을 비활성화시키고 바탕화면으로 전환Alt + Tab - 현재 실행중인 프로그램간의 빠른 전환(Alt를 누른 상태에서 Tab을 여러번 눌러서 전환하고자하는 프로그램 선택) 이 두개의 단축키는 알고가시면 시간 절약에 도움이 되실 것 같습니다.

파티션 복구 관련 질문

안녕하세요 jm99142님!GPT 파티션 복구가 필요한 이미지를 Encase에서 복구할 경우를 말씀하시는거죠?안타깝게도 이 부분에 대한 답변을 드리기가 어렵다는 말씀을 드려야할것 같습니다.강의소개에도 안내드린것처럼 제가 더이상 Encase를 사용할 수 없는 상황이어서Encase에 대한 추가 강의 및 질문에 대한 답변이 어렵습니다.말씀하신 부분을 제가 직접 해봐야 말씀을 드릴수 있을텐데 그럴수가 없다보니 답변을 드리지 못하는 점 다시 한번 양해의 말씀을 드립니다 ㅜ_ㅜ

vmware 관련 질문드립니다.

안녕하세요 KMS님!1. VMware 강의 VMware에 대한 별도의 강의는 현재 등록된게 없습니다. 다만 21회 시험리뷰강의와 실습시나리오 4에서 다루고 있으니 참고 부탁드릴게요~ 1) [섹션16 시험리뷰]-[공통]2급 21회 시험 리뷰 1 - 0:0:0~0:07:40 : vmware 프로그램 설치 > 이 영상에서 안내하는 pro버전은 최근에 무료로 공개됐으니 그냥 다운로드 받으시면 됩니다! - 0.23:22~0:42:33 : vmware 간단 사용방법 2) [섹션17 실습시나리오4] - 실습시나리오에 vmdk 파일에 포함되어있으며, [실습시나리오 풀이 4-3]의 0:12:02~ 부터 관련 내용 확인하실수 있습니다. .hc 확장자 .hc 확장자 파일은 볼륨 암호화 프로그램인 베라크립트의 암호화 키파일 확장자입니다. 위와 관련된 내용은 [섹션 15. 보충강의]- [공통]VHD, Veracrypt 강의에서 다루고 있으니 참고해주세요~ 말씀하신것처럼 24회 시험에서는 VMware 프로그램을 제공하지 않기때문에 위의 강의 영상에서 다룬vmware 설치와 vmdk 파일을 어떻게 연결해서 가상화 환경을 만드는지 등의 내용은 시험에서다룰일이 없을것 같습니다. 다만 Vmware 프로그램이 없는경우라도 시나리오 4에서 다룬것처럼vmdk 파일을 직접 분석하는 등의 방법으로도 시험에 나올수 있는만큼 vmdk 파일이 무엇이고어떻게 확인할수 있는지 등에 대한 기본적인 내용을 알고 가시는게 좋을것 같습니다. 또한 .hc 파일의 경우 아직까지 출제된적은 없지만 암호화 관련해서 출제될 경우에는 베라크립트는 필수적으로 알아야할 프로그램입니다. 그렇게 길고 복잡한 내용은 아니다보니 해당 강의는 가볍게 한번 보시는걸 추천드립니다. 추가로 질문주신 내용과 관련해서NTFS Log Tracker 와 Mail Viewer 등 몇개 프로그램은 별도의 강의가 아닌 시험 리뷰 영상 등에서 간접적으로 다룬 적이 있습니다.관련내용이 나오는 강의는1) NTFS Log Tacker [섹션 16. 시험 리뷰]-[공통]2급 22회 시험 리뷰 1 1:40:52~2) Mail viewer - [섹션 16. 시험리뷰]-[공통]2급 22회 시험 리뷰2 0:23:30~을 참고해주세요~ 시험본부에서 제공하는 프로그램들은 동일한 목적의(동일한 성격의 아티팩트 분석) 프로그램을 여러종류 제공하는 경우가 있습니다. 그러한 프로그램 중 Encase나 Autopsy에서 동일하게 확인할수 있는 내용을 다루는 프로그램도 다수 있어서 모든 프로그램을 다 알고 가야하는것은 아닙니다.며칠내로 24회 시험에서 제공되는 프로그램에 대해서 간단하게나마 말씀을 드릴 예정입니다나머지는 그때 공지를 통해서 말씀드릴게요~

Autopsy 분석 소요 시간 문제

안녕하세요 jj kim님!말씀하신 시나리오 1번의 dd파일을 autopsy로 분석을 돌렸을때,강의영상에서 선택한 인제스트 모듈은1) Recent Activity2) Hash Lookup3) File Type Identification4) Extension Mismatch Detector5) Embedded File Extractor6) Picture Analyer7) Keyword Search8) Email Parser9) Encryption Detection이렇게 9개였던것으로 알고 있습니다.Autopsy 버전에 업데이트 되면서 분석시간에 영향이 있는지 확인하기 위해서 업로드된 시나리오 1번 파일을 다운로드 받아서 파티션 복구후에 위의 분석옵션으로 동일하게 분석을 진행해봤는데 약 20분정도 걸렸고, 분석에 사용된 컴퓨터의 사양은 AMD 라이젠5, 16GB, Win10 Pro 입니다. 그래서 키워드 서치 옵션을 제외하고 다시 분석을 돌렸을때는 약 5분정도 시간이 걸렸습니다.이러한 조건별 분석소요시간과 분석된 아티팩스 수를 비교를 해보면 아래와 같습니다.(사진)강의영상과 동일한 조건에서는 Metadata수와 Entension Mismatch Deceted 의 수가 조금적게 나오긴 했는데, 분석결과에 잡히는 내용들 중 문제가 없는 정상적인경우도 많기때문에 업데이트되면서 조금 더 잘 걸러주게 된게 아닌가 하는 생각이 드는데, 저정도 차이는문제가 없다고 생각이 들고, 무엇보다 분석시간에서도 유의미한 차이가 나진 않았던것 같습니다.최근의 시험들을 진행하면서 autopsy 분석시간에 대한 문제가 계속 언급되고 있어서몇 회 전 부터는 분석시에 'Keyword Search' 옵션을 끄고 분석을 진행하시고, 필요시에 추가로 분석을 진행하시는것으로 권장을 드리고 있는데요, 이 시나리오 역시 Keyword Search 옵션을 끄고분석을 한번 진행해보시고 시간이 어느정도 걸리는지 한번 봐주세요.키워드 서치는 실제로는 매우 중요한 기능이긴 하지만, 시간제약이 있는 시험의 특성상 활용하기에어려운게 사실이다보니 우선은 분석을 돌리지 않는것으로 권해드립니다.그리고 확인을 한번 해보실만한 부분이, 키워드 서치를 돌릴경우라고해도, 아래의 캡쳐 화면처럼키워드 서치 모듈의 옵션을 설정하는 화면에서 'Select Keyword lists to encable during ingest'의각 항목(Phone numbers, Ip Addresses 등)이 모두 체크가 해제가 되어있는지 확인한번 해보시는것도 좋습니다.아래 화면은 이미 분석이 완료된 화면이여서 처음 분석 인제스트 모듈 선택시의 화면과는 조금 다른데,(사진) 이 부분이 칸이 작게 나오면서 마우스 스크롤로 넘기다보니 체크되어있는데 확인 못하는 경우가 생기기도 합니다. 확실히 모든 부분에 체크가 해제되어있는지도 한번 확인해보세요! 성능만 봤을때 제가 분석한 컴퓨터보다 더 좋으신데 1시간이 지났음에도 분석이 완료되지 않았다는것은아마도 인제스트 모듈 선택에서 놓친 부분이 있지 않을까 하는 생각이 듭니다.다시 한번 인제스트 모듈의 옵션을 확인해보시고, 그래도 문제가 없었다면 키워드서치는 제외하고 분석을 한번 돌려봐주세요. 시나리오1번 이미지는 윈도우즈가 포함되지 않아서 파일수 등이 매우 적은 편입니다. 그럼에도 불구하고 1시간이상 분석이 완료되지 않는다면 뭔가 문제가 있긴 있는것 같습니다 ㅜ_ㅜ

강의 내용 질문은 아닙지만 여쭙고 싶은게 있습니다.

안녕하세요 라랄라라님 !질문주신 위 스샷에서 HxD에서 하이라이트(빨간색, 녹색) 부분은 HxD에서 별도의 기능이 있는건 아니고제가 교재에 첨부 이미지로 만들기 위해서 HxD에서 캡쳐한 이미지를 포토샵을 이용해서 임의로 색을 입힌 그림입니다.개인 블로그에 관련 내용을 직접 작성하셔서 포스팅 하시는 방법도 있고,그 방법이 어려울 경우, 블로그가 비공개일경우, 위의 스샷처럼 강의영상에서 캡쳐하시거나, 교재의 내용을 캡쳐해서 올리셔도되며,만약 공개된 블로그일 경우에는 출처표기만 추가로 하셔서 포스팅 하셔도 됩니다!출처표기를 하실 경우 디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)https://inf.run/3TZ1t위 내용만 잘 표기 부탁드리겠습니다!

시나리오4 vmdk 불러오기 실패

안녕하세요 seong sam님!질문주신 문제는 autopsy에서 알 수 없는 이유로 에러가 나는것으로 추측이 됩니다.이 문제는 제가 시나리오 4번을 올려드린 23회 시험 전에도 비슷한 문제로 고민하시는 분들이 계셨는데그 때도 문제 해결을 위해서 찾아봤지만 해결을 못한 부분이었습니다.그나마 우회하는(?) 방법이 vmdk 파일을 원본으로 raw(dd)로 재 이미징하여 하는 방법이 있었는데이방법도 되는경우, 안되는경우가 있었습니다.(과거 질문글 참고해주세요 ~https://inf.run/ScJzY)질문 주셔서 저도 다시 한번 해당 vmdk 파일을 Autopsy 4.22 버전을 이용해서 분석해보려고 했는데저 역시 말씀하신 문제가 발생하는것을 확인했습니다.(작년에 문제를 확인했을때는 autopsy 이전 버전을 사용했었고, 강의에서 보시는것처럼 문제가 없었거든요)다시 한번 이 문제를 해결하려고 알아보는 중이긴 하지만 명쾌한 답을 찾지 못하고 아직 찾는 중입니다.Autopsy의 특성상 이러한 크고 작은 오류등이 있는 편인데 그에 대한 해답을 찾는것도 어려움이 있네요.저도 조금 더 찾아보고 혹시라도 해결방법을 알게 된다면 추가로 답변을 드리도록 하겠습니다.분석 프로그램의 문제다보니 제가 직접적으로 해결할 방법이 없어서 명쾌한 답을 드리지 못하는점 죄송합니다 ㅜ_ㅜ

증거 USB 이미지 생성 관련 문의

안녕하세요 라이프러너님!이미지생성시 절차가 궁금하신거죠? 크게 보면 말씀하신 순서가 맞습니다조금 구체적으로 정리를 해보면,시험본부에서 제공한 USB가 증거 원본인지, 아니면 단순히 증거 사본을 담은 복사본인지 확인- 최근 시험에서는 증거 원본 USB가 아닌 시나리오상 현장에서 수사관이 증거를 이미징하거나 기타 사본을 만든 후 해당 파일을 수험자에게 전달하기 위한 단순 복사용 USB를 제공하는 경우가 몇 번 있었습니다. 시나리오를 자세히 보시고 시험본부에서 제공한 USB가 증거 원본이여서 직접 이미징을 해야하는지, 아니면 사본이여서 단순히 복사만 해도 되는지 먼저 확인해주세요 (증거 원본 USB일 경우 이미징 시작) 쓰기방지 !!- 이미징의 시작은 무조건 쓰기방지 부터입니다!! 말씀하신것처럼 Encase의 Fastblock SE를 이용하는 방법과 레지스트리 수정을 이용한 방법이 있으며 이는 편하신방법으로 선택하셔서 쓰기방지를 진행해주세요.3. 증거 USB 원본 연결- 쓰기방지등 예방조치가 다 이뤄진걸 확인하신 후에 USB를 연결 해주세요 FTK Imager 실행, 이미지 생성-FTK Imager를 실행해서 원하시는 포맷(e01 or dd)으로 설정하신 후에 이미징을 진행해주세요 이미징 완료 후 이미징한 파일 확인-이미징한 파일을 FTK Imager에 불러와서 이미징이 정상적으로 완료되었는지, 그리고 다른 포맷으로 이미징할 필요는 없는지(예를 들어 파티션 복구를 위해서 dd로 이미징할 필요가 있을경우)를 확인하신 후 문제가 없다면 USB를 제거후에 쓰기방지(Encase fastbloc se or 레지스트리)를 해제하셔도 됩니다-쓰기방지를 해제하는 이유는 한번 쓰기방지를 설정한 후에는 그 이후 연결되는 모든 USB가 쓰기방지 상태로 유지가 됩니다. 시험의 특성상 증거파일들을 시험본부에서 제공한 별도의 제출용 USB에 복사해서 제출하게 되는데 이때 새로 연결한 USB 역시 쓰기방지가 되어 복사가 되지 않는 문제가 생길수 있으므로 이미징이 모두 완료가 되어 더이상 필요없을때는 쓰기방지를 해제해주시는것이 좋습니다.(제출하려고 usb연결해서 복사시에 안될 경우 당황할수가 있거든요)

시험장에서 직접 프로그램을 가져가서 설치를 해야되나요

안녕하세요 now-06님!시험장에서 사용하는 대부분의 프로그램은 시험본부에서 설치파일을 현장에서 제공합니다.예외적으로 미리 설치가 되어있는 프로그램들이 몇개 있지만, 대부분의 분석 프로그램 등 시험을 위해서필요한 프로그램들은 설치파일을 제공하고, 수험자가 그 설치파일을 직접 설치해서 사용하게 됩니다.다만 모든 프로그램들의 설치파일을 제공하는것인 아닌데, 시험 전에 포렌식학회 홈페이지에 공지된 프로그램만을 제공합니다. 참고로 예전에는 시험본부에서 제공하는 프로그램외에 수험자가 추가로 필요한 프로그램이 있는경우사전신청을 통해서 허가를 받은 후 직접 해당 프로그램의 설치파일을 USB에 복사해서시험장에서 직접 설치하는 경우도 있었지만, 최근에는 시험본부에서 제공하는 프로그램 외에는사용을 할 수 없게끔 바뀌게 되었습니다.다만 이렇게 변경된지 얼마 되지 않았고, 또 이번 시험에서는 어떻게 변경이 될지는 시험본부의공지가 있어야 정확히 알 수 있으므로 학회 홈페이지를 한번씩 확인하시는게 좋을것 같습니다:)