레지스트리 쓰기방지..

안녕하세요 컬스터디님!먼저 시험보시느라 정말 고생하셨습니다 !질문주신 내용에 답을 드리면,1) 레지스트리를 통한 쓰기방지 설정 상태에서의 답안제출용 USB로의 복사 - 레지스트리로 쓰기방지를 하신 후에 답안제출을 위해서 쓰기방지 해제를 안하셨다면 USB에 복사 자체가 되지 않습니다! 아마 해제를 하신 것으로 보입니다.2) 쓰기방지를 안하고 이미징을 했을 경우 - 이미징시에 가장 많이 하는 실수중 하나이고, 또 실무에서는 큰 문제이긴 하지만 아마 큰 문제는 안되실것 같아요. 이게 100% 확정적으로 말씀드릴수는 없는 부분인데 쓰기방지 없이 이미징을 했다고 바로 원본 증거가 훼손 되는 등 무결성이 바로 깨지진 않습니다. 물론 경우에 따라서는 가능성은 당연히 있지만, 그래도 웬만해서는 해시값이 동일하게 나왔을 가능성 이 높으니 너무 걱정 안하셔도 될것 같습니다 !

시험 후기

안녕하세요! 먼저 시험보시느라 정말 고생하셨습니다 !질문주신 내용에 답해드리면,1) 훼손된 파티션만을 이미징하여 제출해도 괜찮은지 - 우선 가장 중요한게 문제에서 복구한 이미지를 제출하라고 했는지 입니다. 제출을 하라고 했다면 당연히 제출은 해야하는데, 그 경우에 두번째로 문제가 '어떠한 이미지'를 제출하라 는 것인지도 중요하겠죠. 문제의 정확한 워딩을 알수가 없어서 이 부분은 답을 드리기가 어려울것 같습니다. 다만 별도로 제출하라는 얘기가 없었고, 출제자의 의도도 제출하지않는 것이었다면 크게 문제는 되지 않을것 같습니다.2) 레지스트리 수정을 통한 쓰기금지 설정 이후의 파일 복사 - 이부분은 제 생각인데 쓰기금지 해제 하신 후에 복사를 정상적으로 하신것으로 보입니다. 레지스트리의 writeprotect 가 1인 설정 상태에서는 복사시에 쓰기금지가 되어있어서 복사가 불가능하다고 에러메시지가 뜨면서 복사 자체가 불가능하거든요. 아마 정상적으로 해제하셨는데 정신이 없다보니 쓰기금지를 해제했던가? 라는 생각에 헷갈리시는것 같아요. Encase Fastbloc SE로 쓰기방지를 하신게 아닌 레지스트리로 하셨다면 너무 걱정하지 않으셔도 될것 같습니다 !

23회 실기 시험

안녕하세요 라랄라라님!먼저 오늘 시험 보시느라 정말 고생 하셨습니다 !이번 시험은 최근에 이미지 파일을 주던 방식에서 오랜만에 증거 USB 원본을 제공하는 방식으로 돌아왔네요. 이미징 파일의 제출은 별다른 얘기가 없다면 (적어도 지금까지는) 제출하는것이 일반적이긴 합니다.다만 이것도 출제자의 의도에 따라 달라질수도 있는 부분인데답안제출용 USB는 16GB로 생각되고, e01로 이미징한 파일 용량이 14.4GB 였다면이미징 파일 제출이 사실상 불가능한 상황으로 보입니다.이미징 파일을 압축해서 넣는 경우는 없기때문에 그점은 신경안쓰셔도 괜찮을것 같습니다. 그동안 준비하느라 고생하셨으니, 너무 걱정마시고 푹 쉬셨으면 좋겠습니다 :)

이번 실기 Autopsy 분석 소요 시간

안녕하세요 평정심님!먼저, 시험 보시느라 정말 고생하셨습니다 !!질문주신 autopsy의 분석 시간에 대한 이야기는 시험때마다 항상 나오는 이슈입니다.Encase가 단 1초라도 빠를거라고 생각이 되긴 하지만, 어디까지나 개인적인 생각일뿐정확히 하려면 동일한 이미지와 분석옵션, 그리고 동일한 스펙의 분석PC로 통제된 상황에서 비교를 해야하기때문에 직접적인 비교는 어려울것 같습니다여쭤보고 싶은게 있는데, 선택하신 분석 옵션이 어떻게 됐었고, 그렇게 선택한 옵션으로 분석이 완료될때까지 대략 어느정도 걸렸는지 말씀해주실수 있으실까요?조금 더 세부적인 내용을 알아야 아주 조금이라도 더 말씀을 드릴수 있을것 같습니다 ㅜ_ㅜ 그리고 Encase와 Autopsy 중 선택이 가능하신 상황이고, 만약 다음 시험을 준비하셔야한다면Encase로 준비하셔도 좋을 것 같습니다대신 Encase에 지속적으로 접근이 가능하다는 전제하에 말씀을 드립니다~

실습 시나리오 3번관련

안녕하세요 rlagksthf002님!시나리오 3번의 경우 총 3개의 파티션이 확인됩니다.(사진)Partition1[3072MB] : unrecognized file systemPartition2[600MB] : Unrecognized file system[Recovered] Partition1 : NTFS이렇게 확인이 되는데, 처음 2개의 파티션은 BR이 훼손되어서 내부에 접근이 불가능한 상태이고3번째 [recovered] 파티션은 [Recovered]라는 말이 붙으면서 접근이 가능합니다.이 경우는 해당 파티션의 BR이 정상이지만 0번 섹터의 MBR에서 파티션 테이블 중 해당 파티션의 정보를 담은 3번 파티션 테이블의 내용이 훼손된 경우인데, 이렇게 훼손된 부분을 FTK Imager에서 불러오면서 자동으로 복구를 했기때문에 접근이 가능한 경우입니다. 위 파일을 복구 하기 위해서 e01 파일을 raw(dd)로 한 번 더 이미징 해주고, 그렇게 생성된 raw파일을 HxD에서 불러오면 0번섹터에서 파티션 테이블을 확인할 수 있습니다.파티션 테이블의 1번과 2번은 FTk Imager에서 확인한 Partition 1, 2번에 대한 내용이 들어가있고마지막으로 3번 파티션 테이블은 0x 00 으로 16바이트가 가득차 있습니다.이 부분이 훼손이 됐기때문에 원래는 접근이 되지 않아야 되는데 FTK Imager가 복구를 해서 보여준 것 뿐입니다.정확히 하자면 이 부분에 대한 복구를 직접 해야하는데,3번 파티션의 BR을 찾고, MBR의 3번 파티션 테이블에 필요한 정보인 시작섹터, 파일시스템, 총 섹터수 등을 확인한 후에 0번섹터의 3번 파티션 테이블에 값을 맞게 넣어줘야 복구가 되지만, 이부분은 BR복구보다는 조금 더 어려운 내용이고, 무엇보다 Autopsy의 경우 분석을 돌리는데 문제가 없기때문에 굳이 다루지 않은 부분입니다.그렇기때문에 우리 눈에는 3번 파티션 테이블은 비어있는 파티션으로 보일 뿐, 사실을 직접 복구를 해야하는 부분이며, '고맙게도' FTK Imager'와 'Autopsy'가 알아서 해줬다 라고 생각해주세요~ :)▶ 3번 파티션을 정확히 복구하자면 현재는(사진)이렇게 되어있지만, 훼손 전에는 아래와 같습니다.(사진)

프리패치 파일 분석 중 문의드립니다.

안녕하세요 설이로이님!결론부터 말씀드리면 해당 문제는 제가 명확하게 답변을 드리기는 어려울것 같습니다.프리패치 기록에 문제가 있는지, win prefetch view 프로그램의 문제인지 여러 원인이 있을수 있습니다.win prefetch 버전 히스토리를 확인해보면 이러한 run counter 오류를 해결하기 위한 업그레이드라는 내용들을 볼수가 있는데, 윈도우즈 업데이트에 따른 문제가 생겼을수도 있다고 추정만 될 뿐입니다.원하시는 답을 드리지 못해서 죄송합니다~

시험 답안 작성시 디테일 문의!!

안녕하세요 정선아님!답안작성시에는 가능하다면 해당 증거를 찾는 과정들에 대해서 상세하게 적어주시는게 제일 좋습니다.물론 시간적으로 가능하다는 전제가 있으며, 시간이 부족하면 어쩔수없이 과정을 간단히 줄이고 결론으로 정리할수밖에 없겠죠. 혹시 제가 올려드린 어떤 답안을 보셨을까요 ?(실습 시나리오 4번을 제외하고는 모두 상세하게 담은 보고서를 올려드렸는데요 ㅜ_ㅜ)실습시나리오 1~3에 올려드린 보고서 예시 파일들을 보시면,각각의 증거에 대해서 어떻게 찾았고, 어디와 연결되고, 결론적으로 어떤 내용의 증거이다를 순서대로 정리하고, 중요부분마다 찾아낸 증거의 스샷을 함께 올려놓은걸 보실수 있습니다.예시로 올려드린 보고서는 어디까지나 예시일뿐, 더 좋은 다른 형태로도 가능하며제가 올려드린 보고서의 구성을 보시면 꽤 시간이 들수밖에 없는 형태로 실제 시험에서 저렇게 까지 작성하기는 어려우실거예요. 메모장에 기록한것에 대해서 조금 헷갈리시는것 같아서 잠깐 설명을 드리면,1) 탐색과정중에서 의심이 가는 파일들은 메모장에 간단히 기록- 이러한 과정을 거치는 이유는 방금 찾은 이 파일이 뭔가 의심은 가는데 증거인지 아닌지에 대해판단하기에는 조금 더 탐색을 해서 맞춰봐야 알수가 있고, 이를 적어놓지 않는다면전체적으로 탐색이 끝났을때 지금까지 찾은 내용들에 대해서 기억이 나지 않을수도 있기때문에어느정도 탐색이 완료된후 메모장에 기록한 내용을 바탕으로 사건을 재구성해보는 용도 입니다.메모장에 적은것은 어디까지나 정리용일뿐, 이 메모장의 내용을 보고 관련있는 내용들만 뽑아내고행위에 대해서 전후관계를 따져보면서 사건이 어떻게 진행했는지를 파악한 뒤에문제에서 요구하는 답을 보고서에 정리할텐데, 각각의 파일들이 어디에 있었는지 간단히 기록한메모장을 보면서 보고서를 작성하면서 해당 파일을 빠르게 찾아 캡처한후 첨부하는 순서로 진행해주세요2) 탐색 완료 후 지금까지 찾은 단서 정리 및 사건 재구성- 지금까지 찾은 단서들을 보면서(메모장) 문제에서 요구하는 답을 하기 위해서는 어떤 단서들을봐야하고 각각의 파일들이 어떻게 연결이 되는지 전후관계를 파악한 후 찾은 파일들을분류해주세요.- 예) 용의자가 연락을 주고 받은 방법관련> 1.jpg>ftp.log>2.eml예) 용의자가 유출을 했음을 알수있는 증거> 3.jpg : 사무실사진. 모니터에 용의자 이름 태그 붙어있음.3)정리가 끝난 후 보고서 작성- 문제에서 원하는 답을 보고서로 작성하기 위한 준비가 끝났다면 / 해당 파일들을 어떻게 찾았는지:바탕화면에 a.jpg 파일이 있었다. 이 파일을 열어보니 용의자와 B의 대화내용을 캡처한 파일이었다./ 그 파일에 다른 특이사항을 없었는지: 또한 a.jpg 파일을 HxD로 살펴보니 FF D9로 끝난 후 다시 FF D8로 시작 FF D9로 끝나는 추가적인 부분이 발견되어 추출하여 보니 또다른 jpg 파일이 은닉된 스테가노그래피 였고 해당 이미지는 용의자 A의 계좌번호를 찍은 사진이었다./ 그 파일에 연결되는 다른내용은 없는지: 스테가노그래피로 은닉된 이미지에서 확인한 A의 계좌번호는, 다운로드받은 파일 폴더에 있던 XX은행 거래내역 이미지의 계좌번호와 동일했으며, 송금받은 내역 중 24/11/22에 B의 이름으로 5천만원이 입금된 것을 봤을때 이는 유출의 댓가를 B가 지급한것으로 추정된다-이런식으로 관련된 증거들을 묶어서 전후관계에 맞춰서 풀어주시면 됩니다. ▶메모장에 따로 기록을 하지 않으셔도 되고, 메모장 기록을 하시면서 해당 파일들을 그때그때 캡처하셔도 되며, 처음부터 바로 보고서 작성으로 들어가셔도 상관없습니다.다만 제가 굳이 메모장등 간단히 기록후에 정리하고 보고서 작성을 하시는것을 권해드리는 것은아직 전체적인 그림이 나오지 않은 상태에서 처음부터 보고서 작성이나, 캡처를 하시면 오히려 시간낭비가 될 가능성이 크기 때문입니다.특정 파일을 찾았는데 느낌적으로 이거 맞다는 그런 경우가 있을수도 있겠지만 찾게되는 모든 파일들을 그렇게 느낌만 가지고 가기에는 어려움이 있겠죠.어디까지나 제가 개인적으로 권해드리는 방법일뿐, 틀린 방법은 없습니다. 나에게 맞는 방법대로 하시면 될 것 같아요~ ■ 아 물론 시나리오와 상관없는 볼륨의 총 섹터수, 시스템의 IP어드레스 등의 문제는 메모장에 따로 적으실 필요없이 바로 캡처해서 보고서 작성하시면 됩니다!

답안 제출 usb 관련 문의

안녕하세요 라랄라라님!1. 증거 USB원본 1개(또는 2개 등), 답안 제출용 USB1개를 받으신 경우 증거 USB 원본이 있으니 당연히 이미징을 직접 해주셔야하는 경우로 1) 가장 먼저 쓰기방지(레지스트리 수정 또는 Encase Fastbloc se 설정) !!!!!!!! 2) 이미징 하려는 증거 USB 원본 연결 3) FTK Imager로 이미징(e01 or raw) 4) 이미징한 파일을 FTK Imager에 불러와서 파티션 복구가 필요한지 여부 확인 5) 파티션 복구가 필요한 경우 다시 FTK Imager에서 증거 USB 원본을 소스로 잡고 raw로 이미징 - E01으로 이미징 했을 경우에 해당하며, 처음부터 raw로 이미징하신경우에는 필요없는 과정입니다 6) 추가로 이미징할 증거가 없으면 USB에 안전제거 7) 쓰기방지 해제 ▶ 쓰기방지를 굳이 해제해주는 이유는 쓰기방지는 설정 이후에 연결되는 USB에 적용되므로, 이미징을 위해서는 당연히 쓰기방지를 해야하는데, 그 이후에 답안 제출을 위해서 제출용 USB 연결시 쓰기방지가 걸린 상태가 되므로 복사를 해도 복사가 되지 않는 문제가 생깁니다. 이 부분은 침착하면 자연스럽게 쓰기방지 해제해야겠다 생각을 하는데 제출시점은 시험 시간이 끝나가 는 시간이다보니 당황해서 잘 생각을 못하고 패닉에 빠질수 있거든요. 그래서 이미징 작업이 끝나면 미리 쓰기방지를 해주시는게 부담이 적습니다.▶ 이미징 후에 USB를 바로 제거하셔도 됩니다! 다만 이미징한 파일을 반드시 FTK Imager로 열어서 파티션 복구가 필요한지 확인후에 진행해주세요 처음부터 raw 파일로 이미징하시면 상관없지만, 대부분 e01으로 하실것 같은데, 그 경우 이미징 후 USB 제거하고, 쓰기방지 해제하고 나서 보니 파티션 복구가 필요하면 앞의 과정을 또 반복해야해서 시간을 낭비할수도 있습니다. 차분히 진행해주세요~! ▶ 질문중에 '시험과정에서 레지스트리로 쓰기방지한 후에 두개의 usb를 연결시킨 후 ~' 라고 해주셨는데 여기에서 두개의 USB는 증거원본 USB와 답안 제출용 USB를 말씀하신게 맞죠? 처음부터 2개를 동시에 연결 후에 하셔도 상관은 없습니다. 다만 혹시모를 실수 예를들면 USB가 헷갈려서 증거제출용 USB를 이미징하거나, 다 잘 해왔는데 마지막에 증거제출용 USB에 증거파일과 보고서를 복사할때 증거원본 USB에 복사하거나, 처음 2개를 동시에 연결하면서 두개 모두 쓰기방지가 걸려있게 된 상태에서, 쓰기방지를 해제했는데 제출용 USB를 다시 연결하지 않고 놔뒀거나 하는 경우 문제가 생길수 있으므로 (쓰기방지후 USB 2개를 연결한 후, 1개를 제거한 뒤 쓰기방지를 해제하였다고 해도 나머지 USB를 제거했다가 다시 연결하지 않으면 그대로 쓰기방지가 유지됩니다. 쓰기방지 적용/해제의 효과는 설정 및 해제 변경 이후에 연결되는 장치에 적용됩니다. 그 전에 이미 연결되어있는 장치에는 영향을 주지 않습니다) 꼭 확인하시고 진행해주세요~!

윈도우11에서 숨긴파일 확인하는 방법

안녕하세요 설이로이님!Windows11 의 경우 아래 이미지에서처럼 설정할수 있습니다.(사진)물론 설이로이님이 하신 방법으로 하셔도 동일합니다.

최종 분석 보고서 작성 여부 문의

안녕하세요 설이로이님!1) 종합보고서 - 이 종합보고서라는 말의 의미가 명확하지가 않은데, 이 의미가 실무에서 보고서를 의미하는거라면 시험에서는 이런형태로 보고서를 제출하라는 지시가 있진 않았던것으로 알고 있습니다. 실무에서처럼 보고서를 작성할수가 없기때문이죠. 예전시험에서 '보고서를 작성하라' 라는 형태로 문제가 나온적은 있었는데 그게 어떤 의미로 나왔었는지는 전후 맥락을 봐야 정확히 알수 있을것 같으나 해당 내용에 대해서 피드백을 받지 못해서 확실히 말씀드리기는 어려울것 같습니다. - 다만 보고서는 시험에서 증거파일과 당연히 제출해야하는 부분인데, 이 작성 방법이 시험마다 차이가 있었습니다. 각각의 문제에 대해서 작성하는것은 맞지만 이렇게 작성한 파일이 문제마다 저장을 별도로 하는지, 아니면 하나의 워드파일(hwp or docx)에 모아서 저장 및 제출을 하는지의 차이인데요, 시험마다 제출 방법이 조금씩 달랐기때문에 이 부분은 시험장에서 지시사항대로 진행을 해주세요- 서론/본론/결론의 보고서 형식 출제 관련 : 이 부분은 저도 처음들어보는 내용인데, 시험보신분들이 말씀해주신 내용중, 이와 같은 내용을 제가 듣지 못했다는 의미이니 사실이 아니다는 의미는 아닙니다. 다만 특정 문제에 대해서 이렇게 작성을 하라 라고 문제가 나왔다면 아마도 시나리오와 관련된 증거에 대한 문제이지 않을까 싶은데요, 증거 A, 증거 B, 증거 C .... 등을 찾은 내용을 각각 정리한 후에 이러한 증거들이 어떻게 연결이 되는지를 시간순으로 파악하여 용의자 Z는 A를 하고 B를 한 다음 C를 한 것으로 추정된다는 결론으로 마무리가 되지 않을까 싶습니다.문제가 정확히 어떻게 나왔는지(문제에서 얘기하는 보고서의 범위가 시나리오 전체를 담는 보고서를 의미하는지, 아니면 특정 한 부분에 대해서 답안 작성을 하는데 그렇게 작성하라고 한 것인지) 알지 못하는 상태에서 답변을 드리는게 조금 어려운 점 양해부탁드리겠습니다. 2) 타임라인 - 네, 특정 파일의 시간정보(생성/수정/접근)를 가지고 타임라인을 구성하시면 됩니다. 다만 말씀하신 생성시간 뿐만 아니라 수정 접근 시간도 다 확인을 해주셔야합니다. - 탐색중에 발견한 모든 파일을 다 하나하나 처음부터 기록하실 필요는 없으며 탐색이 어느정도 끝나고 시나리오와 연관되어 증거로 보이는 파일들(메모장 등 탐색 중간중간에 짧게라도 기록이 되어있어야 확인이 가능하겠죠!)의 시간정보를 확인해서 전후관계를 파악해주시면 됩니다.- 다만 시간정보만을 가지고 전후관계를 파악하시기 보다는 찾아낸 증거의 내용들을 보고 상식적인 수준에서 전후관계를 정리해주시는것을 권해드립니다. 이런 말씀을 드리는건 제가 조금 오버해서 말씀드리는 것이긴 한데, 제가 올려드린 실습시나리오를 풀어보셨다면 각 증거들의 시간정보가 사실상 연결이 안됩니다. 그럴수 밖에 없는게 짧은 기간에 증거를 구성하다보니 납득할만한 시간차이가 나기가 어렵기도 하고 또 실수로 시간만 보면 전후관계가 바뀌는 경우도 있었죠? 시험 문제를 출제하기 위해서 임의로 구성을 하는것이다보니 아무리 포렌식학회에서 신경써서 만든 다고해도 결국 사람이 만드는 문제이기때문에 증거파일간의 시간상 전후관계가 맞지 않을수도 있습 니다. 그런 경우 우리가 생각하기에 상식적인 순서와 관련파일들의 시간상 순서가 틀어져서 오히려 헷갈릴수도 있거든요. 그러니 참고는 하되, 100% 믿지는 마세요~- 또한 파일이 생성되고 그 후에 접근 / 수정이 일어나는 것이 일반적일텐데 강의에서 보셨다면 아시겠지만, 시간기록상 파일의 수정이 먼저 있고 그 후에 생성이 된 경우가 있습 니다. 이런 경우는 마지막으로 수정이 된 후에 해당 파일이 새로운곳으로 복사되면서 '생성' 되었거나, 압축이 되어있다가 풀렸거나 하는 등의 생성이 되었기때문에 시간이 변경된다는 점도 꼭 기억을 해주세요