레지스트리 쓰기방지..

안녕하세요 컬스터디님!먼저 시험보시느라 정말 고생하셨습니다 !질문주신 내용에 답을 드리면,1) 레지스트리를 통한 쓰기방지 설정 상태에서의 답안제출용 USB로의 복사 - 레지스트리로 쓰기방지를 하신 후에 답안제출을 위해서 쓰기방지 해제를 안하셨다면 USB에 복사 자체가 되지 않습니다! 아마 해제를 하신 것으로 보입니다.2) 쓰기방지를 안하고 이미징을 했을 경우 - 이미징시에 가장 많이 하는 실수중 하나이고, 또 실무에서는 큰 문제이긴 하지만 아마 큰 문제는 안되실것 같아요. 이게 100% 확정적으로 말씀드릴수는 없는 부분인데 쓰기방지 없이 이미징을 했다고 바로 원본 증거가 훼손 되는 등 무결성이 바로 깨지진 않습니다. 물론 경우에 따라서는 가능성은 당연히 있지만, 그래도 웬만해서는 해시값이 동일하게 나왔을 가능성 이 높으니 너무 걱정 안하셔도 될것 같습니다 !

시험 후기

안녕하세요! 먼저 시험보시느라 정말 고생하셨습니다 !질문주신 내용에 답해드리면,1) 훼손된 파티션만을 이미징하여 제출해도 괜찮은지 - 우선 가장 중요한게 문제에서 복구한 이미지를 제출하라고 했는지 입니다. 제출을 하라고 했다면 당연히 제출은 해야하는데, 그 경우에 두번째로 문제가 '어떠한 이미지'를 제출하라 는 것인지도 중요하겠죠. 문제의 정확한 워딩을 알수가 없어서 이 부분은 답을 드리기가 어려울것 같습니다. 다만 별도로 제출하라는 얘기가 없었고, 출제자의 의도도 제출하지않는 것이었다면 크게 문제는 되지 않을것 같습니다.2) 레지스트리 수정을 통한 쓰기금지 설정 이후의 파일 복사 - 이부분은 제 생각인데 쓰기금지 해제 하신 후에 복사를 정상적으로 하신것으로 보입니다. 레지스트리의 writeprotect 가 1인 설정 상태에서는 복사시에 쓰기금지가 되어있어서 복사가 불가능하다고 에러메시지가 뜨면서 복사 자체가 불가능하거든요. 아마 정상적으로 해제하셨는데 정신이 없다보니 쓰기금지를 해제했던가? 라는 생각에 헷갈리시는것 같아요. Encase Fastbloc SE로 쓰기방지를 하신게 아닌 레지스트리로 하셨다면 너무 걱정하지 않으셔도 될것 같습니다 !

23회 실기 시험

안녕하세요 라랄라라님!먼저 오늘 시험 보시느라 정말 고생 하셨습니다 !이번 시험은 최근에 이미지 파일을 주던 방식에서 오랜만에 증거 USB 원본을 제공하는 방식으로 돌아왔네요. 이미징 파일의 제출은 별다른 얘기가 없다면 (적어도 지금까지는) 제출하는것이 일반적이긴 합니다.다만 이것도 출제자의 의도에 따라 달라질수도 있는 부분인데답안제출용 USB는 16GB로 생각되고, e01로 이미징한 파일 용량이 14.4GB 였다면이미징 파일 제출이 사실상 불가능한 상황으로 보입니다.이미징 파일을 압축해서 넣는 경우는 없기때문에 그점은 신경안쓰셔도 괜찮을것 같습니다. 그동안 준비하느라 고생하셨으니, 너무 걱정마시고 푹 쉬셨으면 좋겠습니다 :)

이번 실기 Autopsy 분석 소요 시간

안녕하세요 평정심님!먼저, 시험 보시느라 정말 고생하셨습니다 !!질문주신 autopsy의 분석 시간에 대한 이야기는 시험때마다 항상 나오는 이슈입니다.Encase가 단 1초라도 빠를거라고 생각이 되긴 하지만, 어디까지나 개인적인 생각일뿐정확히 하려면 동일한 이미지와 분석옵션, 그리고 동일한 스펙의 분석PC로 통제된 상황에서 비교를 해야하기때문에 직접적인 비교는 어려울것 같습니다여쭤보고 싶은게 있는데, 선택하신 분석 옵션이 어떻게 됐었고, 그렇게 선택한 옵션으로 분석이 완료될때까지 대략 어느정도 걸렸는지 말씀해주실수 있으실까요?조금 더 세부적인 내용을 알아야 아주 조금이라도 더 말씀을 드릴수 있을것 같습니다 ㅜ_ㅜ 그리고 Encase와 Autopsy 중 선택이 가능하신 상황이고, 만약 다음 시험을 준비하셔야한다면Encase로 준비하셔도 좋을 것 같습니다대신 Encase에 지속적으로 접근이 가능하다는 전제하에 말씀을 드립니다~

실습 시나리오 3번관련

안녕하세요 rlagksthf002님!시나리오 3번의 경우 총 3개의 파티션이 확인됩니다.(사진)Partition1[3072MB] : unrecognized file systemPartition2[600MB] : Unrecognized file system[Recovered] Partition1 : NTFS이렇게 확인이 되는데, 처음 2개의 파티션은 BR이 훼손되어서 내부에 접근이 불가능한 상태이고3번째 [recovered] 파티션은 [Recovered]라는 말이 붙으면서 접근이 가능합니다.이 경우는 해당 파티션의 BR이 정상이지만 0번 섹터의 MBR에서 파티션 테이블 중 해당 파티션의 정보를 담은 3번 파티션 테이블의 내용이 훼손된 경우인데, 이렇게 훼손된 부분을 FTK Imager에서 불러오면서 자동으로 복구를 했기때문에 접근이 가능한 경우입니다. 위 파일을 복구 하기 위해서 e01 파일을 raw(dd)로 한 번 더 이미징 해주고, 그렇게 생성된 raw파일을 HxD에서 불러오면 0번섹터에서 파티션 테이블을 확인할 수 있습니다.파티션 테이블의 1번과 2번은 FTk Imager에서 확인한 Partition 1, 2번에 대한 내용이 들어가있고마지막으로 3번 파티션 테이블은 0x 00 으로 16바이트가 가득차 있습니다.이 부분이 훼손이 됐기때문에 원래는 접근이 되지 않아야 되는데 FTK Imager가 복구를 해서 보여준 것 뿐입니다.정확히 하자면 이 부분에 대한 복구를 직접 해야하는데,3번 파티션의 BR을 찾고, MBR의 3번 파티션 테이블에 필요한 정보인 시작섹터, 파일시스템, 총 섹터수 등을 확인한 후에 0번섹터의 3번 파티션 테이블에 값을 맞게 넣어줘야 복구가 되지만, 이부분은 BR복구보다는 조금 더 어려운 내용이고, 무엇보다 Autopsy의 경우 분석을 돌리는데 문제가 없기때문에 굳이 다루지 않은 부분입니다.그렇기때문에 우리 눈에는 3번 파티션 테이블은 비어있는 파티션으로 보일 뿐, 사실을 직접 복구를 해야하는 부분이며, '고맙게도' FTK Imager'와 'Autopsy'가 알아서 해줬다 라고 생각해주세요~ :)▶ 3번 파티션을 정확히 복구하자면 현재는(사진)이렇게 되어있지만, 훼손 전에는 아래와 같습니다.(사진)