악분의 블로그

p289페이지에 있는 페이지에 설명되어 있는 'filezilla.log'를 KFOLT로 보면 해당 파일의 내용은 깨져서 나온다. filezilla.log파일을 직접 추출해서 메모장으로 열였더니, 다행히도 내용이 깨지지 않고 출력되었다.

p27 - 분석과정에 사용한 시스템 정보(운영체제), 사용한 하드웨어와 소프트웨어 정보, 시간 정보 등을 기재한다. 시간 정보는 증거물의 시간과 정확한 현재 시간을 비교하여 오차를 기록해 두어야 한다. 분석시스템 운영체제 Windows 10 Pro 분석에 사용한 도구 Encase 8.07 TimeZone 대한민국 표준시(UTC +9) p256 - 문제를 풀기 위해 발견된 파일에 대해서는 반드시 해시 값을 산출하여 보고서에 기재한다. 단, 여기서 주의할 점은 문제의 정답과 상관없는 파일에 대해 기재하거나 언급을 하면 감점의 요인이 된다. 문제에서 얘기하는 정답과 연괸되어 잇는지 신중하게 판단한 뒤 보고서에 기록해야 한다. p315 기록된 매체정보 중 디바이스의 총 용량과 볼륨의 총 용량을 구분해서 보고서에..

디지털포렌식 전문가 2급 232페이지에서 이미지 데이터를 다루고 있다(실습문제 2번). 책에서는 KFOLT도구를 사용해서 메타데이터를 보고 있지만, 파일을 추출 하면 더 쉽게 메타데이터를 볼 수 있다. [이미지 01]처럼 [이미지 속성 -> 자세히]탭으로 가면 이미지의 모든 메타데이터가 표시된다.

KFOLT에서 분석한 파일의 해시는 기본으로 표시되지 않는다. 해시를 분석하기 위해 [해시 분석]이라는 메뉴를 클릭한다. 주의 사항은 해시 표시가 바로 적용되는 것이 아니라 다른 디렉터리를 방문하고 다시 원하는 경로로 이동해야 한다. 5번 문제(책 페이지 319)를 예제로 살펴보자. 아래 gif에서 보이는 것처럼 IMG_101.jpg의 [파일 구조 뷰어]를 처음 진입하면, 해시가 보이지 않는다. [해시 분석]이후에 다시 해당 경로에 진입하면 해시가 보여진다. ※gif이미지를 보기 위해서 이미지를 클릭해서 보세요~.~

법률, 디스크 이미징, 디스크 복원 생략 (복원은 디지털포렌식 2급 실기 175 ~ 182 페이지 참고) 1. 본사의 조작지시와 조작된 POS데이터의 흔적을 찾아 해당 파일을 추출하여 제출하시오 1.1. 시그니처 분석 시그니처 자동 분석을 통해 확장자와 시그니처가 다른 파일을 찾는다. 조건검색으로 확장자와 시그니처가 다른 파일을 필터링한다. 1.2. 시그니처가 불일치한 파일 분석 "본사지시사항에 대한 답변.jpg"는 이미지 파일이지만 KFOLT의 Image로 분석하면 이미지가 보이지 않는다. 하지만, Document로 분석하면 파일 내용이 보인다. [이미지 04]에 있는 내용을 복사해서 메모장에 붙여넣기 한다. 본사가 지시한 조작한 내용이 확인된다. '본사지시사항에 대한 답변.jpg'를 더블 클릭하면 해..

1. 윈도우 디펜더 해제 윈도우 7부터 기본으로 설치되어 있는 안티 바이러스이 윈도우 디펜더가 파일을 검사하면 액세스 시간이 변경된다. 그리고, 악성코드라고 확정한 파일에 대해서 기본적으로 삭제조치를 한다. 그러므로, USB 연결 전에 윈도우 디펜더를 해제한다. [실행 -> gpedit.msc -> 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Windows Defender 바이러스 백신 -> Windows Defender 바이러스 백신 사용 안함] 2. 쓰기 방지 - 윈도우 디펜더 비활성화(다른 백신이 있으면 백신 비활성화) -> 쓰기 방지 설정후에 디스크 이미징 작업을 한다. - 레지스트리 또는 도구에서 지원하는 기능 택 1 ※개인적으로 KFOLT가 편함 2.1 레지스트리 설정 (..