보고서 작성 완료 후 원본파일 수집 질문

안녕하세요 귀여운 푸들님!1)증거사본 이미지 생성 및 무결성 입증 - 최근에는 이미지 파일을 제공하기때문에 보기 힘들어진 문제입니다. 예전에는 기본적으로는 이미징한 파일(예: image.e01)을 답안제출용 USB에 함께 제출하기도 했으나 문제지 또는 시험장의 안내문에 '증거 USB의 이미징 파일을 제출하지 마시오'라는 내용의 안내가 있었던 시험에서는 이미지 파일을 제출하지 않았습니다.- 우선 이미지 파일이 제공이 되는지,아니면 증거 USB를 제공하여 우리가 이미징을 해야하는지를 확인하신 후, 이미지파일이 제공된 경우에는 신경안쓰셔도 되며, 증거 USB를 제공한 경우에는 이미지 파일을 제출하지 말라는 내용이 있는지 꼭 확인하셔서 지시에 따라주시면 될것 같습니다 2) 파티션 복구한 후의 이미지 파일 - 위의 경우에는 기본적으로 제출한 적이 없는것으로 알고 있습니다.(용량 문제가 가장 크죠) 제출하라는 지시가 있지 않는이상 제출 하지 않습니다 ! 3) 볼륨정보 관련 - 이 문제는 해당 정보를 찾을수 있는지 보는 기본적인 문제로 별도로 제출할 파일이 없습니다 ! - 다만 보고서에 파일시스템은 ~~에서 확인했으며, NTFS였다(+스크린샷) 총 섹터수는 ~에서 확인했으며, 1,234,567 개 이다 (+스크린샷) 위의 형태로 설명과 함께 해당 부분에 대한 스크린샷을 덧붙이는 정도로만 해주시면 됩니다 ! 질문주신 내용이 헷갈릴수 있는 부분인데, 살짝 정리를 하면1) 증거 원본 USB의 이미지 파일 - 기본적으로는 제출하나, 제출하지 말라는 내용이 있다면 제출 X2) 증거 원본 USB가 아니라 이미지 파일을 제공한 경우 - 제출 X3) 파티션 복구 후에 변경된 이미지 파일 - 제출 X (제출 하라고 지시한경우에만 제출 but 제출한 경우가 없었던 것으로 알고 있습니다)4) 각종 증거파일 - 문제에서 직접 묻거나, 시나리오상 증거로 추정된, 또는 연관된 모든 파일은 해당 문제의 폴더에 하나씩 다 추출해서 제출 !5) 기본이론을 묻는 단순 문제들에 대한 파일 제출 - 볼륨에 대한 정보, 디스크에 대한 정보, 윈도우즈 계정에 대한 정보 등 단순한 이론을 확인하는 문제로 시나리오와 전혀 상관없는 문제들은 관련 파일 제출 X (생각해보면 관련 파일을 제출할 일이 거의 없습니다) 단 별도로 특정하여 지시한경우는 예외 기본적으로는 이렇게 생각해주시고, 가장 중요한건 반드시 문제 또는 시험장의 안내문 등의 지시를정확히 이해하고 따라주세요 !

EnCase 사용을 못하는 환경에서 한글파일 내부구조 확인 방법

안녕하세요 설이로이님~질문주신 내용은 답변으로 드리기에는 조금 복잡해서, 짧은 영상 하나를 업로드 했습니다.[섹션 15. 보충강의]-[[공통] 복합파일의 내부구조확인] 영상을 참고해주세요~

e01 파일을 raw(dd)파일로 이미징?

안녕하세요 정선아님!질문 순서대로 답변 드릴게요~1) 시험장에서 제공되는 이미지의 포맷 - 증거원본 USB를 제공하는게 아니라면, e01으로 제공될 확률이 매우매우매우매우매우 높습니다. - 제가 매우를 반복적으로 말씀드린이유는 e01으로 제공하는 가장 큰 이유는 용량문제때문입니다. - 이미지를 '용의자 A의 노트북을 수사관이 이미징하여 수사관의 USB에 저장하였다' 형태로 USB에 담아서 제공을 하게 될텐데, raw 이미지로 이미징을 하면 원본(노트북이든 USB든) 의 용량이 그대로 다 필요하고, 그렇게 하기 위해서 대용량의 USB나 외장하드급으로 제공이 되야할 텐데 e01으로 이미징을 하게 되면 용량이 대폭 줄어서 USB에 담아 제공할수 있을 정도가 되기때문 입니다. - 그렇기때문에 e01으로 압축해서 줄 가능성이 사실상 100%라고 생각하시면 됩니다. 만약 raw파일로 제공한다고 해도 오히려 파티션 복구 등의 문제시에 우리가 다시 이미징할 필요가 없어지기때문에 오히려 편리하긴 하겠죠 2) e01 파일을 확인시 파티션이 훼손됐을경우 재이미징 - 네 맞습니다. e01은 압축된 형태로 저장된 상황이라서 파티션 복구등을 위해서 MBR, BR 등을 찾아가야하는 절차를 정상적으로 처리하지 못합니다. 그렇기때문에 Raw(dd)로 이미징을 다시 한번 해줘야 MBR, BR등이 우리 눈에 확인이 되기때문에 이미징을 한 번 더 하는 과정이 필요합니다. 3) e01 파일을 raw로 다시 이미징할 수 있는 이유 - e01 파일을 원본으로 잡고 raw로 이미징을 하면 mbr과 br 등이 보이는, 최초의 상태(이미징 전의 원본 USB상태)로 돌아가게 되죠? 이부분을 아주 간단히 설명드리면, e01으로 이미징이 됐지만 raw 상태에서의 정보를 담은 곳이 있어서 가능하다 이렇게만 생각해주세요.우리가 일상적으로 윈도우즈에서 워드작업, 엑셀작업 등을 할때 되돌릴경우 Ctrl+Z를 누르면 바로 전단계로 돌아가게 되죠? 바로 전 단계의 상황이 어딘가에 기록이 되고 있다는 의미인데 그런것처럼 e01으로 생성된 이미지도 raw상태로 돌아갈수 있을만한 정보가 어딘가에 담겨져있기때문에 가능하다라고 생각해주시면 좋을것 같습니다~어쨌든 우리에게 중요한것은 e01 파일이여도, e01파일을 원본으로 잡고 raw로 이미징 하면 최초의 상태(raw)로 돌아갈수 있다! 이것만 기억을 해주세요!

BitLocker 이미지 마운팅 오류

안녕하세요 설이로이님!말씀하신 마운팅 오류 문제는 예전부터 얘기가 계속 나오던 부분입니다.FTK Imager에서 마운팅을 했을때 'Add Rive Failed'가 나오는 경우는원인이 확실히 밝혀지지 않았고, 또한 정확한 해결방법도 나오지 않은 상태입니다.아마도 프로그램과 윈도우즈간 충돌이 있는것으로 추정만 될뿐입니다.(이부분에 대해서 제작사에 문의를 해봤지만 꽤 오래됐는데 예상대로 답변이 아예 없네요;)우선 이런 경우 FTK Imager가 아닌 다른 마운트 프로그램을 이용해서 할수는 있지만,시험장에서 그런 프로그램을 지원하지 않기 때문에 마운트 프로그램을 이용해서 연습을 하는게 큰 의미는 없습니다.다만 비트라커 복호화와 복호화 후 이미징 하는 연습을 위해서 다른 프로그램을 이용해서 마운팅을 해보시고, 정상적으로 마운팅이 되면 강의에서 안내해드린대로 이어서 진행 해보시겠어요 ? 마운트 프로그램은 Arsenal Image Mounter이며 해당 프로그램은 아래 주소에서 다운로드 할 수 있습니다.https://arsenalrecon.com/downloads(사진) (사진)다운로드를 받으시면 위와 같은 zip 파일을 받을수 있고, 받으신다음에 압축을 풀어보면 (사진)ArsenalImageMounter.exe 파일을 실행하시면 됩니다(별도의 설치 필요없습니다) (사진)실행해보면 아마도 .NET Runtime 설치 안내가 뜨는데 설치해주시고요~ (사진).NET 설치가 완료되면 다시 프로그램을 실행해보시면 위와 같이 라이센스 관련 내용이 나오는데 'OK'해서 넘어가주시고요. (사진)위의 화면에서 '예'를 클릭해주세요 (사진)프로그램을 시작할 준비가 되면 하단의 메뉴중 'Mount disk image'를 클릭해서마운트할 이미지 파일을 불러와주세요 (사진)이미지를 선택하면 옵션을 선택해야하는데 위의 화면처럼 초기값으로 바로 불러오시면 됩니다. 이렇게 하면 이미지가 마운트되어서 탐색기에서 확인이 가능하며,비트라커 복구키를 이용해서 복호화 하는 부분부터 강의에서 말씀드린 순서로 진행을 해주세요~(사진)

Bitlocker 복호화 후 이미지 생성 시 Bad Sector 발생

안녕하세요 이원길님!에러가 발생하는 정확한 상황이,말씀해주신 실습과정중 [3. 마운팅 관련 옵션을 영상과 동일하게 설정한 뒤, 마운트 버튼 클릭] 상황에서Mount 버튼을 클릭하면 첨부해주신 스샷 첫번째처럼 FTK Imager가 아니라윈도우즈에서 '위치를 사용할 수 없습니다' 라고 에러가 뜬다는 말씀이시죠 ?지금까지는 FTK Imager에서 이미지 마운팅시에 'Add drive failed' 라는 에러메시지가 나오는경우만 있어서 말씀하신 경우는 저도 처음 보는 현상입니다.같이 올려주신 오류 내용을 보면 198,656번 섹터에서부터 257,279번 섹터까지 00으로 채워졌다는 내용이 보이는데,실습이미지(bitlocker.E01)의 총 섹터수는 193,855로 0번부터 193,854번까지 섹터가 있으며마지막섹터는 193,854번 입니다.그런데 198,656부터 257,279까지 섹터가 더 있다는 얘긴데 원인을 알수없는 이유로 문제가 생겼고 해당 섹터들이 0x 00으로 다시 채워졌다고 나오는걸 봤을때 뭔가 꼬이긴 꼬인것 같습니다.(제가 처음 올려드린 bitlocker.E01파일을 HxD로 열어보면 193854번 섹터가 마지막섹터입니다)아마 제가 처음 말씀드렸던 'Add drive failed'에러와는 다른 문제인것으로 보이는데,원인은 확인 못하겠지만 이렇게 한 번 해보시겠어요 ?1) 기존에 다운로드 받으신 자료는 삭제하시고 [보충강의 Bitlocker의 수업자료]를 다시 다운로드해서 동일한 문제가 발생하는지 확인해주세요2) 동일한 문제가 생긴다면, HxD로 bitlocker.E01을 불러온 후 193,854번 섹터로 가셔서해당 섹터의 첫번째줄 9바이트(offset:05EA7C00 / 0x 00 00 00 00 00 1A 04 E8 F8)까지만남기시고 그 뒤로는 전부 삭제해주세요(사진) 해결이 될지는 모르겠지만 한 번 해보시고 말씀 한번 부탁드리겠습니다.(동일한 문제를 저도 확인할 수 있다면 여러 방법으로 시도해볼수 있을텐데 참 어렵네요 ㅜ_ㅜ)