악분의 블로그

2019년부터 디지털포렌식 출제학회에서 기출문제 일부를 공개하고 있다. 그리고, 대회 전용 도구인 KFOLT도구를 같이 배포한다. Encase는 유료 도구여서 직장인 또는 대학 연구실 사람이 아니면 접하지 못하는 도구이다. 아마도, 이를 학회에서는 이를 안타까워해(?) KFOLT도구를 따로 제작한듯 하다. KFOLT도구와 실습문제는 디지털포렌식 전문가 접수 홈페이지(ybermap.kaspersky.com)의 공지사항에서 다운로드 받을 수 있다. 실습파일의 문제는 알라딘, YES24등에서 구매가능하다. 약 35,000원이다.

KFOLT는 포렌식학회에서만든 디지털포렌식 전문가 2급 실기를 위한 도구이다. 실기시험 30일전부터 실시 시험날까지 무료로 공개한다. 시험이 끝나고 사용할 수 없다. 디지털포렌식 실기 2급의 문제는 기밀자료 유출을 분석하는 문제유형이 많고, 확장자와 시그니처가 서로 다른 파일이 유출된 기밀자료일 가능성이 많다(그 외에 삭제된 파일이 있다). KFOLT에서는 [자동 분석 -> 시그니처 분석]기능으로 쉽게 확장자와 시그니처가 서로 다른 파일을 찾는다. 1번 실습파일를 예를 들어보자. 아래 그림에서 1->2->3번 순서대로 실행하면 확장자와 시그니처를 비교하면서 다른 파일 또는 이상한 파일을 분석한다. 시그니처 분석 이후에 조건 검색으로 쉽게 확장자와 시그니처가 다른 것을 필터링 가능하다.