게시글
질문&답변
혹시 단축키 관련 강의도 찍어주실 수 있으실까요?
안녕하세요 KMS님!죄송하게도 말씀하신 부분에 대해서 현재까지는 별도의 영상 촬영 계획이 없습니다.이 부분은 나중에 기회가 되면 고려해보겠습니다 ㅜ_ㅜ다만 말씀해주신 단축키 외에 시험장에서 도움이 될만한 몇개만 추가하자면(다들 아시겠지만)Win +D - 모든창을 비활성화시키고 바탕화면으로 전환Alt + Tab - 현재 실행중인 프로그램간의 빠른 전환(Alt를 누른 상태에서 Tab을 여러번 눌러서 전환하고자하는 프로그램 선택) 이 두개의 단축키는 알고가시면 시간 절약에 도움이 되실 것 같습니다.
- 0
- 2
- 28
질문&답변
파티션 복구 관련 질문
안녕하세요 jm99142님!GPT 파티션 복구가 필요한 이미지를 Encase에서 복구할 경우를 말씀하시는거죠?안타깝게도 이 부분에 대한 답변을 드리기가 어렵다는 말씀을 드려야할것 같습니다.강의소개에도 안내드린것처럼 제가 더이상 Encase를 사용할 수 없는 상황이어서Encase에 대한 추가 강의 및 질문에 대한 답변이 어렵습니다.말씀하신 부분을 제가 직접 해봐야 말씀을 드릴수 있을텐데 그럴수가 없다보니 답변을 드리지 못하는 점 다시 한번 양해의 말씀을 드립니다 ㅜ_ㅜ
- 0
- 3
- 30
질문&답변
vmware 관련 질문드립니다.
안녕하세요 KMS님!1. VMware 강의 VMware에 대한 별도의 강의는 현재 등록된게 없습니다. 다만 21회 시험리뷰강의와 실습시나리오 4에서 다루고 있으니 참고 부탁드릴게요~ 1) [섹션16 시험리뷰]-[공통]2급 21회 시험 리뷰 1 - 0:0:0~0:07:40 : vmware 프로그램 설치 > 이 영상에서 안내하는 pro버전은 최근에 무료로 공개됐으니 그냥 다운로드 받으시면 됩니다! - 0.23:22~0:42:33 : vmware 간단 사용방법 2) [섹션17 실습시나리오4] - 실습시나리오에 vmdk 파일에 포함되어있으며, [실습시나리오 풀이 4-3]의 0:12:02~ 부터 관련 내용 확인하실수 있습니다. .hc 확장자 .hc 확장자 파일은 볼륨 암호화 프로그램인 베라크립트의 암호화 키파일 확장자입니다. 위와 관련된 내용은 [섹션 15. 보충강의]- [공통]VHD, Veracrypt 강의에서 다루고 있으니 참고해주세요~ 말씀하신것처럼 24회 시험에서는 VMware 프로그램을 제공하지 않기때문에 위의 강의 영상에서 다룬vmware 설치와 vmdk 파일을 어떻게 연결해서 가상화 환경을 만드는지 등의 내용은 시험에서다룰일이 없을것 같습니다. 다만 Vmware 프로그램이 없는경우라도 시나리오 4에서 다룬것처럼vmdk 파일을 직접 분석하는 등의 방법으로도 시험에 나올수 있는만큼 vmdk 파일이 무엇이고어떻게 확인할수 있는지 등에 대한 기본적인 내용을 알고 가시는게 좋을것 같습니다. 또한 .hc 파일의 경우 아직까지 출제된적은 없지만 암호화 관련해서 출제될 경우에는 베라크립트는 필수적으로 알아야할 프로그램입니다. 그렇게 길고 복잡한 내용은 아니다보니 해당 강의는 가볍게 한번 보시는걸 추천드립니다. 추가로 질문주신 내용과 관련해서NTFS Log Tracker 와 Mail Viewer 등 몇개 프로그램은 별도의 강의가 아닌 시험 리뷰 영상 등에서 간접적으로 다룬 적이 있습니다.관련내용이 나오는 강의는1) NTFS Log Tacker [섹션 16. 시험 리뷰]-[공통]2급 22회 시험 리뷰 1 1:40:52~2) Mail viewer - [섹션 16. 시험리뷰]-[공통]2급 22회 시험 리뷰2 0:23:30~을 참고해주세요~ 시험본부에서 제공하는 프로그램들은 동일한 목적의(동일한 성격의 아티팩트 분석) 프로그램을 여러종류 제공하는 경우가 있습니다. 그러한 프로그램 중 Encase나 Autopsy에서 동일하게 확인할수 있는 내용을 다루는 프로그램도 다수 있어서 모든 프로그램을 다 알고 가야하는것은 아닙니다.며칠내로 24회 시험에서 제공되는 프로그램에 대해서 간단하게나마 말씀을 드릴 예정입니다나머지는 그때 공지를 통해서 말씀드릴게요~
- 1
- 2
- 53
질문&답변
Autopsy 분석 소요 시간 문제
안녕하세요 jj kim님!말씀하신 시나리오 1번의 dd파일을 autopsy로 분석을 돌렸을때,강의영상에서 선택한 인제스트 모듈은1) Recent Activity2) Hash Lookup3) File Type Identification4) Extension Mismatch Detector5) Embedded File Extractor6) Picture Analyer7) Keyword Search8) Email Parser9) Encryption Detection이렇게 9개였던것으로 알고 있습니다.Autopsy 버전에 업데이트 되면서 분석시간에 영향이 있는지 확인하기 위해서 업로드된 시나리오 1번 파일을 다운로드 받아서 파티션 복구후에 위의 분석옵션으로 동일하게 분석을 진행해봤는데 약 20분정도 걸렸고, 분석에 사용된 컴퓨터의 사양은 AMD 라이젠5, 16GB, Win10 Pro 입니다. 그래서 키워드 서치 옵션을 제외하고 다시 분석을 돌렸을때는 약 5분정도 시간이 걸렸습니다.이러한 조건별 분석소요시간과 분석된 아티팩스 수를 비교를 해보면 아래와 같습니다.(사진)강의영상과 동일한 조건에서는 Metadata수와 Entension Mismatch Deceted 의 수가 조금적게 나오긴 했는데, 분석결과에 잡히는 내용들 중 문제가 없는 정상적인경우도 많기때문에 업데이트되면서 조금 더 잘 걸러주게 된게 아닌가 하는 생각이 드는데, 저정도 차이는문제가 없다고 생각이 들고, 무엇보다 분석시간에서도 유의미한 차이가 나진 않았던것 같습니다.최근의 시험들을 진행하면서 autopsy 분석시간에 대한 문제가 계속 언급되고 있어서몇 회 전 부터는 분석시에 'Keyword Search' 옵션을 끄고 분석을 진행하시고, 필요시에 추가로 분석을 진행하시는것으로 권장을 드리고 있는데요, 이 시나리오 역시 Keyword Search 옵션을 끄고분석을 한번 진행해보시고 시간이 어느정도 걸리는지 한번 봐주세요.키워드 서치는 실제로는 매우 중요한 기능이긴 하지만, 시간제약이 있는 시험의 특성상 활용하기에어려운게 사실이다보니 우선은 분석을 돌리지 않는것으로 권해드립니다.그리고 확인을 한번 해보실만한 부분이, 키워드 서치를 돌릴경우라고해도, 아래의 캡쳐 화면처럼키워드 서치 모듈의 옵션을 설정하는 화면에서 'Select Keyword lists to encable during ingest'의각 항목(Phone numbers, Ip Addresses 등)이 모두 체크가 해제가 되어있는지 확인한번 해보시는것도 좋습니다.아래 화면은 이미 분석이 완료된 화면이여서 처음 분석 인제스트 모듈 선택시의 화면과는 조금 다른데,(사진) 이 부분이 칸이 작게 나오면서 마우스 스크롤로 넘기다보니 체크되어있는데 확인 못하는 경우가 생기기도 합니다. 확실히 모든 부분에 체크가 해제되어있는지도 한번 확인해보세요! 성능만 봤을때 제가 분석한 컴퓨터보다 더 좋으신데 1시간이 지났음에도 분석이 완료되지 않았다는것은아마도 인제스트 모듈 선택에서 놓친 부분이 있지 않을까 하는 생각이 듭니다.다시 한번 인제스트 모듈의 옵션을 확인해보시고, 그래도 문제가 없었다면 키워드서치는 제외하고 분석을 한번 돌려봐주세요. 시나리오1번 이미지는 윈도우즈가 포함되지 않아서 파일수 등이 매우 적은 편입니다. 그럼에도 불구하고 1시간이상 분석이 완료되지 않는다면 뭔가 문제가 있긴 있는것 같습니다 ㅜ_ㅜ
- 0
- 2
- 57
질문&답변
강의 내용 질문은 아닙지만 여쭙고 싶은게 있습니다.
안녕하세요 라랄라라님 !질문주신 위 스샷에서 HxD에서 하이라이트(빨간색, 녹색) 부분은 HxD에서 별도의 기능이 있는건 아니고제가 교재에 첨부 이미지로 만들기 위해서 HxD에서 캡쳐한 이미지를 포토샵을 이용해서 임의로 색을 입힌 그림입니다.개인 블로그에 관련 내용을 직접 작성하셔서 포스팅 하시는 방법도 있고,그 방법이 어려울 경우, 블로그가 비공개일경우, 위의 스샷처럼 강의영상에서 캡쳐하시거나, 교재의 내용을 캡쳐해서 올리셔도되며,만약 공개된 블로그일 경우에는 출처표기만 추가로 하셔서 포스팅 하셔도 됩니다!출처표기를 하실 경우 디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)https://inf.run/3TZ1t위 내용만 잘 표기 부탁드리겠습니다!
- 0
- 1
- 52
질문&답변
시나리오4 vmdk 불러오기 실패
안녕하세요 seong sam님!질문주신 문제는 autopsy에서 알 수 없는 이유로 에러가 나는것으로 추측이 됩니다.이 문제는 제가 시나리오 4번을 올려드린 23회 시험 전에도 비슷한 문제로 고민하시는 분들이 계셨는데그 때도 문제 해결을 위해서 찾아봤지만 해결을 못한 부분이었습니다.그나마 우회하는(?) 방법이 vmdk 파일을 원본으로 raw(dd)로 재 이미징하여 하는 방법이 있었는데이방법도 되는경우, 안되는경우가 있었습니다.(과거 질문글 참고해주세요 ~https://inf.run/ScJzY)질문 주셔서 저도 다시 한번 해당 vmdk 파일을 Autopsy 4.22 버전을 이용해서 분석해보려고 했는데저 역시 말씀하신 문제가 발생하는것을 확인했습니다.(작년에 문제를 확인했을때는 autopsy 이전 버전을 사용했었고, 강의에서 보시는것처럼 문제가 없었거든요)다시 한번 이 문제를 해결하려고 알아보는 중이긴 하지만 명쾌한 답을 찾지 못하고 아직 찾는 중입니다.Autopsy의 특성상 이러한 크고 작은 오류등이 있는 편인데 그에 대한 해답을 찾는것도 어려움이 있네요.저도 조금 더 찾아보고 혹시라도 해결방법을 알게 된다면 추가로 답변을 드리도록 하겠습니다.분석 프로그램의 문제다보니 제가 직접적으로 해결할 방법이 없어서 명쾌한 답을 드리지 못하는점 죄송합니다 ㅜ_ㅜ
- 0
- 3
- 40
질문&답변
증거 USB 이미지 생성 관련 문의
안녕하세요 라이프러너님!이미지생성시 절차가 궁금하신거죠? 크게 보면 말씀하신 순서가 맞습니다조금 구체적으로 정리를 해보면,시험본부에서 제공한 USB가 증거 원본인지, 아니면 단순히 증거 사본을 담은 복사본인지 확인- 최근 시험에서는 증거 원본 USB가 아닌 시나리오상 현장에서 수사관이 증거를 이미징하거나 기타 사본을 만든 후 해당 파일을 수험자에게 전달하기 위한 단순 복사용 USB를 제공하는 경우가 몇 번 있었습니다. 시나리오를 자세히 보시고 시험본부에서 제공한 USB가 증거 원본이여서 직접 이미징을 해야하는지, 아니면 사본이여서 단순히 복사만 해도 되는지 먼저 확인해주세요 (증거 원본 USB일 경우 이미징 시작) 쓰기방지 !!- 이미징의 시작은 무조건 쓰기방지 부터입니다!! 말씀하신것처럼 Encase의 Fastblock SE를 이용하는 방법과 레지스트리 수정을 이용한 방법이 있으며 이는 편하신방법으로 선택하셔서 쓰기방지를 진행해주세요.3. 증거 USB 원본 연결- 쓰기방지등 예방조치가 다 이뤄진걸 확인하신 후에 USB를 연결 해주세요 FTK Imager 실행, 이미지 생성-FTK Imager를 실행해서 원하시는 포맷(e01 or dd)으로 설정하신 후에 이미징을 진행해주세요 이미징 완료 후 이미징한 파일 확인-이미징한 파일을 FTK Imager에 불러와서 이미징이 정상적으로 완료되었는지, 그리고 다른 포맷으로 이미징할 필요는 없는지(예를 들어 파티션 복구를 위해서 dd로 이미징할 필요가 있을경우)를 확인하신 후 문제가 없다면 USB를 제거후에 쓰기방지(Encase fastbloc se or 레지스트리)를 해제하셔도 됩니다-쓰기방지를 해제하는 이유는 한번 쓰기방지를 설정한 후에는 그 이후 연결되는 모든 USB가 쓰기방지 상태로 유지가 됩니다. 시험의 특성상 증거파일들을 시험본부에서 제공한 별도의 제출용 USB에 복사해서 제출하게 되는데 이때 새로 연결한 USB 역시 쓰기방지가 되어 복사가 되지 않는 문제가 생길수 있으므로 이미징이 모두 완료가 되어 더이상 필요없을때는 쓰기방지를 해제해주시는것이 좋습니다.(제출하려고 usb연결해서 복사시에 안될 경우 당황할수가 있거든요)
- 0
- 2
- 45
질문&답변
시험장에서 직접 프로그램을 가져가서 설치를 해야되나요
안녕하세요 now-06님!시험장에서 사용하는 대부분의 프로그램은 시험본부에서 설치파일을 현장에서 제공합니다.예외적으로 미리 설치가 되어있는 프로그램들이 몇개 있지만, 대부분의 분석 프로그램 등 시험을 위해서필요한 프로그램들은 설치파일을 제공하고, 수험자가 그 설치파일을 직접 설치해서 사용하게 됩니다.다만 모든 프로그램들의 설치파일을 제공하는것인 아닌데, 시험 전에 포렌식학회 홈페이지에 공지된 프로그램만을 제공합니다. 참고로 예전에는 시험본부에서 제공하는 프로그램외에 수험자가 추가로 필요한 프로그램이 있는경우사전신청을 통해서 허가를 받은 후 직접 해당 프로그램의 설치파일을 USB에 복사해서시험장에서 직접 설치하는 경우도 있었지만, 최근에는 시험본부에서 제공하는 프로그램 외에는사용을 할 수 없게끔 바뀌게 되었습니다.다만 이렇게 변경된지 얼마 되지 않았고, 또 이번 시험에서는 어떻게 변경이 될지는 시험본부의공지가 있어야 정확히 알 수 있으므로 학회 홈페이지를 한번씩 확인하시는게 좋을것 같습니다:)
- 0
- 2
- 33
질문&답변
NTFS BR 복구 관련 질의입니다
안녕하세요 유창범님!질문 해주신 것에 대한 답변부터 말씀드리면 "그렇습니다"매 시험마다 출제되는 내용들이 정말 어디로 튈지 모르기도하고 또 난이도도 일정하지 않다보니어떤 일이든 섣불리 답변드리기는 어려운게 현실이긴 합니다. 다만 질문주신 파티션 복구 관련해서1) BR을 훼손하고 그에 대한 백업본까지 훼손하는 경우 - 이 경우는 사실상 나올수가 없다고 개인적으로는 생각합니다. BR의 백업이 있는 이유는 어떠한 이유로든 BR이 훼손됐을때 복구하기 위한 안전장치가 하나 있는것이고 2급 시험임을 감안했을때 그러한 백업의 존재를 알고 찾아서 복구할줄 아느냐가 포인트이기때문에 백업까지 삭제하고 나올 일은 사실상 없을거라고 생각이 됩니다.물론 현실에서는 제가 만약 범죄를 저질렀고 그러한 것을 은폐하기 위해서는 못할게 없겠죠.하지만 시험에서는 그렇게 나올수는 없다고 생각이 됩니다! 2) MBR의 삭제MBR의 경우 파티션 테이블의 특정 부분(4개중 1개의 파티션 테이블을 전부 훼손또는 삭제하는 등)을훼손할수는 있을것 같은데, MBR이 있는 0번섹터를 완전히 없애서 나오는 경우는 가능성이 낮다고 생각됩니다. 물론 MBR이 없이 0번섹터에 바로 BR이 오는 그런 구조는 있을수는 있겠죠하지만 MBR이 존재함에도 불구하고 한번 풀수 있으면 풀어봐라라는 식으로 MBR을 없애서 나오진 않을거라 생각됩니다.또한 파티션 테이블의 일부 훼손의 경우 Encase나 ftk imager, autopsy 등의 분석 프로그램에서자동으로 보여주는 등 여러 방법이 있기때문에 이 또한 크게 문제는 안될것 같습니다. 어디까지나 제 개인적인 생각인데, 그동안 시험 기출됐던것들을 보면 무엇도 방심할수는 없는게 사실입니다. 다만 질문주신 부분은 현재까지 나올만한 형태가 다 나왔다고 생각되기에 조심스럽지만 그렇게 나오기는 어려울것 같다는 말씀을 드려봅니다 :)
- 0
- 2
- 18
질문&답변
Autopsy 1강 DFRC tool 받는 주소가 바뀐거 같습니다
안녕하세요 유창범님!말씀대로 주소가 변경이 됐네요!제가 놓치기 쉬운부분을 말씀해주셔서 정말 감사합니다!!!조만간 시간되는대로 교재나 강의등에 변경된 URL로 수정 또는 추가 안내하도록 하겠습니다감사합니다!
- 1
- 2
- 50