앞서 총 3편의 디지털포렌식 자격증 관련 포스팅을 통해
필기 및 실기 기출 문제의 유형 및 실제 시나리오 등을 알아 보았다.
그럼 오늘은 실기 문제 중 일부 문제를 한번 직접 풀어보도록 하자!!
디지털포렌식 전문가 2급 실기 - 기출문제 2번
2) 증거물의 사본을 이용하여 아래의 정보를 확인하라 (10점)
1] 파일시스템 종류
2] 시작 섹터 위치
3] 증거물 전체 섹터 수
4] 전체 용량
5] 증거물의 볼륨 시리얼
* 증거물의 파일시스템을 분석 능력을 판단하기 위한 출제 매회 비슷한 유형의 문제는 꼭 한 문제씩 출제된다.
#1. 파일시스템 종류 확인
증거물의 0번 섹터 (MBR)에 기록된 정보를 바탕으로 해당
저장장치의 파일시스템 정보를 확인할 수 있다.
예시 문제의 파일시스템 정보는 0x0B(16진수) 값을 가지고 있는 것이 확인되며,
0B값은 FAT32를 나타내므로, 해당 저장장치의 파일시스템은 FAT32 이다.
#2. 시작 섹터(BOOT, VBR) 위치
시작 센터란 증거물(저장장치)의 실질적 시작 위치 즉, VBR or BOOT의
위치를 물어보는 문제로 마찬가지로 MBR에서 정보를 확인 할 수 있다.
VBR의 위치를 기록하는 OFFSET 위치에
00 00 00 80 (16)의 Hex값 (리틀엔디안)이 기록된 것이 확인되며,
이는 10진수로 변환 시, 128을 나타낸다.
즉, VBR (시작 섹터) 위치는 128 섹터 이다.
#3. 증거물 전체 용량 or 섹터 수
이번 문제 역시, 증거물 (저장장치)의 전체 섹터 수 즉, 용량을
확인할 수 있는가를 물어보는 문제로 총 섹터 수 역시,
0번 섹터의 특정 OFFSET에 기록된다.
저장장치의 총 섹터수를 기록하는 위치에 저장된 Hex값은
00 77 40 00 (16) Hex 값 (리틀엔디안) 으로,
10진수로 변환하면, 7815168 섹터가 된다.
즉, 증거물(저장장치)의 전체 섹터수 는 7,815,168 섹터
1섹터는 512Byte이기 때문에,
증거물의 전체 용량은 7,815,168섹터 X 512Byte = 4,001,366,016 Byte (약 3.72GB) 이다.
따라서, 문제에서 증거물의 전체 용량을 묻는 다면 약 3.72GB
전체 섹터 숫자를 묻는다면 7,815,168 섹터이다.
#4. 증거물의 볼륨 시리얼
이번 문제는 증거물의 볼륨 시리얼 (Volume Serial)을 확인하는 문제다.
볼륨 시리얼은 포렌식 분석을 진행함에 있어 저장장치의 동일성, 연관성 등을
입증하기 위해 자주 필요한 정보로 아주 중요한 정보로 볼 수 있다.
따라서, 이번문제를 해결하기 위해서는 볼륨시리얼 정보가 어느 위치에
기입이 되어 있는지를 알고 있어야 한다.
볼륨 시리얼(Volume Serial)은 앞서 2번 문제에서 확인한
시작섹터(VBR or Boot)에 기입되어 있다.
따라서, 앞서 2번 문제에서 VBR의 위치가 128번 섹터인 것을 확인하였으며,
실제 증거물 128번의 섹터에 기입된 볼륨 시리얼은 C4 E4 64 29 (16) Hex값 (리틀엔디안)인 것이 확인 된다.
따라서, 해당 증거물의 볼륨 시리얼은 C4E4-6429 이다.
디지털포렌식 전문가 2급 자격증 관련 다른 글 보기
1편: 디지털포렌식전문가 2급 필기 일정 및 시험 소개
[디지털포렌식 자격증] 디지털포렌식전문가 2급 합격 후기(15회, 21회)
최근 디지털포렌식 시장 동향 디지털 포렌식에 대한 대중의 관심이 매우 뜨겁다. 9시 뉴스에 소개되는 각종 사건 사고들에 끊이지 않고 '디지털 포렌식' 이라는 키워드가 등장한다. 또한, 대중적
forensiccc.tistory.com
2편: 디지털포렌식 전문가 2급 실기 소개 및 합격 후기
[디지털포렌식 자격증] 디지털포렌식 전문가 2급 실기 기출 문제
디지털포렌식 전문가 2급 실제 실기 기출문제를 개인적으로 재구성해 보았다. 실제 응시했던 15회, 21회 시험과 비슷한 방식으로 문제를 구성하였으며, 실기 시험을 앞둔 수험생이라면 해당 문제
forensiccc.tistory.com
[디지털포렌식 자격증] 디지털포렌식 전문가 2급 실기 기출 문제
디지털포렌식 전문가 2급 실제 실기 기출문제를 개인적으로 재구성해 보았다. 실제 응시했던 15회, 21회 시험과 비슷한 방식으로 문제를 구성하였으며, 실기 시험을 앞둔 수험생이라면 해당 문제
forensiccc.tistory.com
'디지털 포렌식의 모든 것 > 나의 디지털 포렌식 이야기' 카테고리의 다른 글
| [디지털포렌식 실무 2편] Windows 레지스트리를 이용해 쓰기 방지 설정하기! (Windows Registry Forensic) (60) | 2024.02.08 |
|---|---|
| [디지털포렌식 자격증] 디지털포렌식 전문가 2급 실기 기출 문제 (49) | 2024.01.16 |
| [디지털 포렌식 팩트체크] 회사 소유 PC. 휴대전화는 직원 동의 없이 열람이 가능할까? (36) | 2024.01.15 |
| [디지털포렌식 실무 1편] FTK Imager 프로그램을 이용한 사본 생성 하기! (무료 포렌식 프로그램) (76) | 2024.01.11 |
| [디지털포렌식 자격증] 디지털포렌식전문가 2급 15회 합격 후기 - 실기 (1) | 2024.01.03 |
