디포2급실기책 실습 - 3.1

디포2급실기책 실습 - 3.1

3-1) 디지털포렌식 전문가로서, 압수수색과 분석에 필요한 행동요령을 단계별로 자세히 서술하시오

3-2) 법정에서는 변호사가 포렌식 결과에 대해 조작되었다는 주장을 하는 경우가 있다. 이에 대비하여 아래의 두 과정에서 무결성을 입증하기 위한 구체적 방법을 서술하시오.

• 현장에서 데이터를 추출하는 과정

• 매체를 압수하는 과정

3-3) 증거물(USB메모리)에 대해 디지털 포렌식 절차에 의거한 디지털증거사본을 생성하시오.

: 제공된 USB는 사본이미지 생성

• FTK Imager 또는 encase 로 사본이미지 생성

• Encase로 사본이미지 생성 예시

3-4) 생성된 증거사본에는 파일시스템이 정상적으로 나타나지 앟는다. 현재 USB메모리의 상태와 복구방법을 기술하고 복구된 화면을 캡쳐하여 제출하시오.

TIP. 디스크 및 파티션이 정상 인식되지 앟는 경우 확인방법

• MBR 파티션 테이블 확인(USB는 파티션을 나누지 않았다면 MBR이 없을 수 있다)

• VBR 손상 및 존재 유무 확인

http://ebook.tsherpa.co.kr/webdata/15/15ebook_E/TB2015TC1EE_60H_CD1/viewer/ebook/%2Fwebdata%2F15%2F15ebook_E%2FTB2015TC1EE_60H_CD1%2Fresource%2Febook%2FMETA-INF/container.xml

: e01 파일 encase로 등록하기

첫번째 섹터 확인 결과, VBR 구조를 가지는 것을 확인할 수 있으며, USB의 경우 파티션을 나누지 않은 경우 MBR이 아닌 VBR부터 시작한다.

또한 VBR이 손상된 것으로 보이며, 백업 VBR을 통해 복원을 진행한다.

e01 파일을 FTK Imager 로 Evidence Tree에 추가한 후 마우스 우클릭하여 Export disk image를 통해 raw image로 추출한다.

hxd로 raw 이미지를 열어서  VBR 복구를 진행한다.