7. 요령 및 주의사항

이 페이지는 시험에서 많이 실수가 나오는 부분, 한번만 인지하고 가면 되는 분에 대해서 살펴보겠습니다. 대부분 시험을 치루고 나온 분들의 경험을 바탕으로 어려웠거나, 처음 접하다보니 대응하지 못했던 부분을 간략히 공유하도록 하겠습니다.

연습시는 무시하시고 시험 직전에 한번만 살펴보시고 가시는 것을 추천합니다.

0. 덜 익숙하거나, 모르는 부분이 있는지 체크

• 지금까지 공부한 것을 정리하면서 덜 익숙하거나, 준비가 부족한 부분이 있는지 체크하여야 합니다.

• 기본적인 파일시스템 복구, 파일 찾기 등이 충분히 익숙해질 경우 NTFS Log Tracker 와 같은 추가 분석도구 활용 연습을 하여 시험에서 막힐 경우 활용해보시는 것을 추천합니다.

시험 대비하여 잘 모르고 있는 부분 체크

1. EnCase 인증(동글) 방법(필수)

   • EnCase 동글을 직접 가져가거나, 인증 파일이 필요한 경우

2. MBR 없는 파일시스템 복구 (필수)

   1. NTFS 파일시스템 복구 방법

   2. FAT32 파일시스템 복구 방법

   3. exFAT 파일시스템 복구 방법

3. MBR 있는 파일시스템 복구 방법

   1. NTFS 파일시스템 복구 방법 (필수)

   2. FAT32 파일시스템 복구 방법(필수)

   3. exFAT 파일시스템 복구 방법 (필수)

   4. (추가) GPT 파티션 테이블 복구 방법

4. USB, 파일시스템 기초 분석(필수)

   1. 전체 섹터수 / 용량 / USB 자체 시리얼 넘버 / 해시값

   2. 파일시스템 종류 / 전체 섹터 수 / 전체용량 / 가용용량 / 파일시스템 볼륨 시리얼 넘버

5. 윈도우 아티팩트 분석 방법(필수)

   1. 시스템 정보 (윈도우 이름, 버전, 설치 시, 마지막 종료시간, 네트워크 카드명, IP, USB 연결정보)

   2. 링크파일,최근 접근 파일 분석 방법

   3. EnScript(EnCase)- Case Analyzer 사용 방법

   4. 특정 앱 분석 방법 (스티커노트 - plum.sqlite) [중요도 낮음]

6. 기타 주요 아티팩트 분석 방법(필수)

   1. 메일 분석 방법 - 확장자(eml), 내용, 작성자 IP, 메일서버 IP, 첨부파일 확인 방법 (MailView)

   2. 인터넷 접근 기록 - 접근 기록 시간, 다운로드 시간, 다운로드 경로

   3. 문서 파일 - 문서 간단 분석, 문서 작성자, 작성시간 >> 압축파일과 docx,pptx,xlsx 시그니처가 동일한데 구분하는 방법

7. 파일 관련(필수)

   1. 확장자 변경 파일 확인 방법

   2. 시그니처 훼손파일 확인 방법

   3. 스테가노그래피(삽입 파일) 분석 방법

   4. 분할 압축된 파일 정상화 방법 (ex. EGG 파일 등)

8. 파일 유출 관련 - 사실상 키워드 검색(필수)

   1. 메일 첨부파일 확인 방법 / 메일 확장자(eml, msg, ost, pst)

   2. FTP와 같은 서비스 Log 확인 방법

9. 기타 이미지 불러오기

   1. 분할 저장된 e01 불러오는 방법

   2. iso, vhd, vmdk 불러오는 방법

   3. (추가) bitlocker 불러오는 방법(암호키 찾은 뒤 적용하는 방법) [중요도 낮음]

10. 추가 분석 도구 활용

    1. MailView 사용 방법

    2. NTFS Log Tracker 사용 방법

11. MS워드를 이용한 답안 작성 연습 (필수)

    • 한글 프로그램이 사용되지 않을 수 있으니, 워드를 사용하여 문서 작업하는 연습을 조금은 해두시는 것을 추천합니다.

1. 시험 요령

• 아래의 제가 제시하는 과정은 정답은 아니지만 여러가지를 고려하였을 때 적절한 방법이 아닌가 싶은 것들을 모아봤습니다. 당연히 본인 스타일대로 진행하시면 되며, 참고 정도로만 살펴보시기 바랍니다.

---

1-1) 시험 시작 전

1. 저장 용량 점검 - C드라이브, D드라이브 나눠져 있는지, 용량은 충분한지 체크

2. 프로그램 정상 동작하는지 체크

3. 숨김 파일, 확장자 표시 하도록 수정

   
4. HxD에서 도구 - 설정에서 백업 파일 생성 체크를 해제 합니다. 이미지 복구 시 백업 파일을 생성하게 되면 굉장히 불필요한 시간이 소요됩니다.

   
5. 필요 시 레지스트리를 이용한 쓰기 방지 설정 > 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지) > EnCase의 FastBlock 를 사용할 경우 레지스트리 이용 쓰기방지 필요 없음 -> 증거 제출용 USB가 있다면 테스트, 분석 대상 USB는 절대 연결 금지

---

1-2) 시험 시작 초반

• *문제지, 증거제출용 USB 수령

  1. 문제지에서 저장해야 하는 파일 구조 확인만 진행 (파일명은 어떻게, 폴더명은 어떻게 해야하는지 등..)

  2. 쓰기 방지 확인 증거제출용 USB를 이용하여 쓰기 방지 정상 동작 하는지 테스트 (증거제출용 USB가 없다면 연습 때 쓰기방지 설정하였던 것을 믿고 진행)

  3. 분석대상 USB 연결 및 FTK Imager를 이용하여 Raw 이미지 획득 진행 - USB 연결시 본체에 파란색 USB단자(USB 3.0 이상)에 연결(가능한 빠른 속도의 단자 연결) - 만약 빠르게 분석하였는데 파일시스템 훼손된 것이 없을 경우 e01으로 수집하여도 됨 - 연결시 "포맷해야 합니다." 표시 시 파일시스템 복구 준비

     
  4. 이미지 획득 진행 중 - 문제지에서 확인한 구조대로 폴더 및 답안 작성용 파일 생성 - 주관식, 디지털증거분석보고서 답안 작성용 문서 작성 -> 답안만 작성할 수 있겠끔 준비 - 시간이 남는 경우 주관식 문제 확인 -> 이중에서 시나리오와 상관없는 단순 분석 문제만 확인

  5. 이미지 획득 후 - 획득 후 분석 대상 USB는 이제 더 이상 없는것 취급. 쓰기방지 해제 - 답안 작성용 문서, 디지털증거보고서에 포함 하여야 할 해시값, USB 시리얼넘버 등 간단히 작성 (log 파일 복사, 붙여넣기 - 추후에 정리 진행 시 필요한 것만 빠르게 복사) - 파일시스템 복구 필요 시 파일시스템 복구 진행 (답안 작성 필요 시 스크린샷 몇 개 찍은 뒤 답안 작성용 문서에 붙여넣기, 정리는 추후 진행)

  6. 분석 대상 포렌식 도구에 불러오기 - Case 생성 후 복구한 파일 시스템 이미지 추가 한 뒤 1차 프로세싱 진행

     • 1차 프로세싱 - 비교적 빨리 끝나는 전처리 [Autopsy]

       • Recent Activity

       • Extension Mismatch Detector

       • File Type Identification

       • Email Parser

       

       [EnCase]

       • File signature analysis

       • Find email

       • Find internet artifacts

       • System Info Parser

       • Windows Event Log Parser

       • Windows Artifact Parser *만약 분석 파일시스템이 리눅스, IOS의 경우 Linux Syslog Parser, OS X Artifact Parser 추가 선택

       
  7. 프로세싱 진행 중 - 프로세싱 없어도 해결 할 수 있는 기초 분석 문제 해결 및 답안 작성 ex) 저장매체 해시값, 원본 저장 매체의 용량 파일 시스템 크기 등 주관식 기초 분석 문제해결 - 남는 시간 시나리오 꼼꼼히 읽고 시나리오 관련 주관식 상세히 살펴보기

  8. 프로세싱 완료 - 시나리오와 관련 없는 주관식 문제 중 프로세싱해만 해결 가능한 문제해결 및 답안 작성

  9. 포렌식 도구(Autospy, EnCase)에서 케이스 저장 필수 - 혹시나 분석 프로그램이 갑자기 꺼지는 경우를 대비하여 케이스 저장 필수

• 여기까지 1시간 이내 완료 할 수 있도록 연습 사실 이때까지 시나리오 읽을 필요 없음(다만 궁금하기에 자동으로 대충 읽게 될 것입니다.) 시험에서 온전히 시나리오와 관련된 분석 시간을 최대한 많이 확보하느냐가 매우 중요 빠르면 빠를 수록 좋음. 연습 때 이 부분을 생각하면서 연습하는 것을 추천

• 시험에서는 프로세싱 시간이 연습 때 보다는 더 오래 걸릴 수 있기 때문에 최대한 해결 가능한 문제 해결

• 그럼에도 남는 시간이 있는 경우 프로세싱 진행 중 시나리오, 주관식 문제 꼼꼼히 읽고 파일 전반적으로 살펴보기

---

1-3) 시험 중반

1. 시나리오 꼼꼼히 읽고 파일 구조 천천히 살펴보기(눈에 익히기)

   • 사실상 남의 컴퓨터 남의 저장매체를 살펴보는 것이기 때문에 보자마자 시나리오 관련 증거파일 찾는 것은 정말로 경험 많은 전문가만 가능합니다. 따라서 최소한 1시간 정도는 조급하지 말고 천천히 모든 폴더를 살펴본다는 생각으로 하나하나 살펴봐야 하기에 충분한 시간 확보가 필수입니다.

   • 윈도우 파일 구조의 경우 아래 경로를 먼저 천천히 쭉 훑어보기 중간에 의심스런 파일 나와도 표시만 해놓고 전체적으로 살펴보기 - Users \ {사용자} \ Desktop - Users \ {사용자} \ Downloads - Users \ {사용자} \ Document - Users \ {사용자} \ Pictures - Users \ {사용자} \ Videos - Users \ {사용자} \ AppData (전체)

   • 윈도우의 최근 접근 파일 살펴보기 C\Users{사용자}\AppData\Roaming\Microsoft\Windows\Recent\

   • 인터넷 접속 기록, 링크 파일 등 살펴보기

2. 대략적으로 모든 폴더를 한번 가볍게 본 뒤 시나리오과 관련된 주요 증거파일 찾고 필요 시 복구 시도

   • 확장자 변경된 파일 -> 파일 추출 후 정상 확장자로 변경

   • 시그니처 훼손된거 (특히 그림파일, 문서 파일 등..) -> 추출 후 시그니처 복구

   • eml / msg 와 같은 메일

3. 시나리오와 관련된 파일이 순서대로 찾아지는 것이 아니기 때문에 의심스런 파일을 전반적으로 찾아보고 시간 정보, 시나리오 등을 살펴보고 대략적인 흐름을 파악해봅시다. 그리고 답안 작성이 가능한 경우 바로 작성을 진행합니다.

4. 추가로 키워드 검색이 필요해 보이는 것은 따로 분석 과정에서 메모장 등에 적어두었다가 활용합니다.

5. 키워드 검색, 추가 프로세싱 등이 필요한 경우 시험 종료 2시간 전에는 시도해봅니다.

6. 필요한 경우 NTFS Log Tracker 를 사용하여 주요 증거파일에 대해서 살펴봅니다. *무료도구 활용 > 6. 파일명 변경 내역(NTFS Log) *EnCase 활용 > 6. 파일명 변경 내역(NTFS Log)

---

1-4) 시험 마무리 단계(종료 30~40분 전)

1. 답안 작성 및 분석 보고서 등 마무리

   • 답안 작성 시 캡쳐, 표, 등을 이용하여 가독성이 좋도록 문서 작업을 진행합니다.

   • 오타, 문장 구조 등을 점검

2. 답안 제출용 저장매체에 답안 작성 문서, 증거 파일들 저장

   • 끝나기 직전에 주요 증거를 찾을 수 있으니 언제든 바로 답안 제출 할 수 있도록 모든 준비 완료

3. 증거 제출용 USB가 정상적으로 재연결하여 문제 없이 인식 되는지 확인 후 제출

---

2. 주의사항

• 실제로 일어나지 않을 거 같지만 상당히 많은 수가 같은 이슈로 생각보다 많은 시간을 보내는 경우가 많이 있으니 한번 정도만 생각 해보고 가시길 추천합니다.

2-1) 시험장 적응

1. 분석 PC / 노트북

   • 분석 PC/노트북의 C드라이브,D드라이브의 용량이 충분한지 확인 후 Case 저장 경로 설정

     • 포렌식 분석 도구에서 프로세싱 한 경우 분석 내용이 저장되어야 합니다. 다만 이후 용량이 상당히 필요하기 때문에 충분한 용량이 있는지 확인하여야 합니다.

   • 분석용 PC, 노트북이 매우 느린 경우(최근에는 많이 개선됨)

     • 작업이 어려울 정도 인 경우 시험 감독관에게 교체요청

     • 다만, 키워드 분석이나 프로세싱이 오래 걸릴 수 있기 때문에 작업이 빨리 끝나는 것부터 진행 후 추가로 프로세싱 진행. 다만 빨리 끝나는 프로세싱 마저도 너무 느릴 경우 감독관에게 문의

   • 문서작성 프로그램이 중간에 갑자기 꺼지는 경우(최근에는 많이 개선됨)

     • 실제로 시험에서 답안 작성 중 꺼지는 경우가 있을 수 있으니 수시로 저장

2. 분석 도구 관련

   • 시험 시작 전 또는 초반에 포렌식 도구 라이센스(EnCase)가 정상적으로 적용되었는지 확인 -> 정상 라이센스 적용이 되지 않은 경우 빠르게 감독관에게 요청

   • 파일 추출 시 꼭 추출할 파일 개수 확인 -> 실수로 대량의 파일을 추출할 경우 사실상 컴퓨터가 멈추는 경우 발생 가능 아래와 같이 Selected 된 것이 매우 많이 선택 후 추출할 때 멈출 수 있으니 주의

     

2-2) 파일시스템 복구 관련

1. 파일시스템이 훼손되어 있는 원본을 복구하여야 하는데 USB를 연결하였는데 "포맷해야 합니다." 하면서 나오는 경우

   • 실제로 많이 발생하는 것으로 파일시스템 복구 연습이 안되어 있을 때 USB가 잘못되었다고 교체를 요구하는 경우가 있습니다. 이 경우 교체하여도 동일할 수 있습니다. -> 파일시스템 복구 연습을 하면서 왜 이러한 알림이 나오는지 확인해보시길 바랍니다!

     • NTFS BR 복사본 : 파티션 마지막 섹터 = NTFS 파일시스템 마지막 섹터 바로 다음 섹터

     • FAT2 BR 복사본 : 파티션 6번 섹터

     • exFAT BR 복사본 : 파티션 12번 섹터

   • 그런데 정말로 진짜로 USB에 이상이 있거나, 주관처에서 해당 USB를 잘못 준비한 경우가 발생할 수 있습니다. Hxd, FTK Imager 등으로 살펴봤을 때 정말로 처음부터 끝까지 00으로 가득 찬 저장매체라면 교체를 요구해야 합니다. 혹은.. 정말 파일시스템을 잘 복구하였다고 생각하는데 제대로 안 될 경우 교환을 시도해보는 것도 생각해봐야 할 수도 있을 듯 하네요!

     

   • FAT32 파일시스템 복구 시 덮어쓰기가 아닌 삽입을 통해 한 섹터가 밀리는 케이스 -> 은근히 파일시스템 복구시 많이 하는 실수로 hex 에서 파일시스템 복구 시 덮어쓰기를 해야하는데 삽입을 하는 경우입니다. - BR 복사본을 복사한 뒤 파티션 시작 위치에서 Ctrl + V를 하여 한 섹터가 밀리게 되는 경우인데

     

     그런데 FTK Imager를 보면 복구가 된 것처럼 보이게 됩니다. 실제로 보면 1섹터가 밀려 있는데 그대로 해석해서 보여주게 되는 것이지요. 이 경우 꼭 Root 디렉토리 데이터에 1섹터가 밀려있는지 체크해야 합니다. 기본적으로 Root 디렉토리에는 데이터가 무조건 존재해야 합니다.

     
2. USB에 분석 대상 이미지가 존재할 경우

   • 파일시스템을 복구 하였거나 또는 정상 파일시스템 내에 vmdk, E01, vhd와 같은 파일시스템 이미지 파일이 존재할 수 있습니다. 이 경우 문제를 잘 읽어보고 문제가 없다면 해당 이미지를 추출하여 분석하면 됩니다. 만약 USB 이미지 획득 후 복구 하였는데 아래와 같이 파일로 raw, E01 같은 파일이 있을 경우 이 파일을 추출하여 분석해야 합니다.

     

3. 증거 분석 중 발견되는 가상 디스크가 존재할 경우

   • 증거 분석 중에 아래와 같이 VMware를 사용한 흔적이 있고, vmdk 파일들이 발견되면 해당 파일을 추출 한 뒤 FTK Imager 또는 EnCase로 분석하는 것도 고려해봐야 합니다.

     

2-3) 용량, 시간, Hash 등 단위 관련

1. 저장 매체, 파일시스템, 증거 파일의 용량을 답안 작성에 활용할 시 Bytes, Kbytes, Mbytes, Gbytes를 정확히 표현합니다. - 1024 Bytes = 1 Kbytes - 1024 Kbytes = 1 Mbytes - 1024 Mbytes = 1 Gbytes - 1024 Gbytes = 1 Tbytes

2. 시간 관련 답안 작성 시 꼭 표준한국시 등을 함께 표시하여 줍니다. - 2024-06-26 12:48:05 (UTC+9)

3. Hash 값의 경우 사용한 알고리즘도 함께 표시하여 줍니다. 문제에서 md5값은 무엇인가? 와 같이 특정한 알고리즘을 지정하지 않은 이상 알고리즘 표시 없이 해시값만 작성하면 어떤 알고리즘인지 알 수 없습니다. - (MD5) 9F70E08E9EC04E938BA98F85A7217CBC - (SHA256) 39F642DA53DA04B11B8103DC2482BBAC06CEAF3001A583364D29CB128593CB56

2-4) 이미지 분할 저장된 파일의 이해

• 이미징 파일이 분할 저장 되어 있을 경우 간단히 분할 압축된 파일을 압축해제하는 것과 동일하게 이해하고 활용해야 합니다.

  

  결론적으로 E01~E04 파일을 추출 한 뒤 E01 파일만 FTK Imager를 이용하거나 EnCase, Autopsy등으로 분석이 가능합니다. 다만 파일시스템이 훼손되어 있을 경우 E01을 추가한 뒤 Raw로 추출하여 복구 한 뒤 복구한 파일시스템을 EnCase, Autopsy로 분석해야 합니다.

• 제가 한동안 체크하지 못한 기간동안 시험에서는 여러가지 이미지 형식으로 분석 대상을 제공하였는 듯 합니다. (e01, iso, vhd, vmdk, gho 등등..) > 추후에 연습 자료를 좀 추가하도록 하겠습니다!

2-5) 주요 증거파일이 이게 맞을까..?

• 윈도우 같은게 설치되어 있거나, 파일과 폴더의 갯수가 매우 많을 경우 이걸 다 어떻게봐? 혹은 이 많은 곳에 시그니처 분석결과가 이상한데 다 어떻게 보고 어떻게 찾지? 라고 생각할 수 있습니다. 이게 의심증거가 맞을까? 이것도 저것도 다 의심스러운데...? 이제 막 연습하시는 분들에게는 어려울 수 있습니다.

• 자 그럼 한번 여러분이 문제를 만드는 입장으로 생각해보겠습니다.

  1. 4시간 이내에 풀 수 있어야 한다.

  2. 시나리오가 충분히 그럴듯 해야 한다.

  3. 시간내에 프로세싱 및 분석이 가능할 정도의 파일들이 저장 되어야 합니다.

  4. 충분히 사용한 것 처럼 자연스런 데이터들로 저장되어 있어야 한다. 이러한 문제 이미지를 만들기 위해서 직접 해보시면 알겠지만, 상당히 오랜시간 치밀하게 준비해야 합니다. 한번이라도 복붙을 잘못하거나, 답안을 바로 알 수 있을 정도의 흔적이 남았을 때 도구에서 바로 티가 나버립니다. 한번 실수하면 다시 만들어야 합니다.ㅠㅠ (제가 공유하는 연습용 이미지는.. 제 능력이 부족으로.. 단순 연습용 이미지로 만들때 노력은 하고있으나 그렇게까지 치밀하게 만들진 않습니다. 이 부분은 좀 죄송스럽군요.ㅠㅠ)

• 이러저러한 이유로 문제를 만드는 과정에서 제약이 상당하고, 실제로 문제 해결에 필요한 파일 수는 그렇게 많지가 않습니다. 그리고 실제로 있을 법 해야하기 때문에 우리가 일상적으로 사용하는 폴더(바탕화면, 내문서, 다운로드 등등..)에 그럴듯한 폴더, 파일명으로 저장할 것 입니다.

• 특히나 결국 시험에서 요구하는 것은 포렌식 분석가가 알고 있어야 할 주요 개념을 알고 있는지를 물어보기 때문에 일부러 막 이상한 폴더에 파일들을 저장하거나 하지 않을 것입니다. 문제 제작하는 분들도 충분히 시험용임을 감안해서 제작할 것이기 때문입니다.

• 따라서.. 폴더명을 봤을 때 이건 내가 사용자 입장에서 절대 쳐다보지도 않을 만한 폴더야! 라고 한다면 과감히 스킵하셔도 됩니다. 물론 AppData 같은 곳은 연습 과정에서 알고 있어야 하는구나.. 정도는 연습을 통해 확인해봐야지.. 하고 실제 시험에서도 확인해야 합니다.

3. 주저리 주저리..

• 가장 많은 분들이 시험 도중에 포기하는 케이스로, 파일시스템 복구가 안될 경우입니다. 실제 시험에서 특정 시간 후에 우르르 나갈 경우 거의 대부분이 여기서 막혀서일 가능성이 높습니다.

  최소한 파일시스템 복구 후 분석을 해보다가 시간이 부족하거나, 못 찾거나 하면 억울함도 덜하고, 다음 시험에는 내가 부족한 것을 채워서 해야겠다.. 하는데

  파일시스템 복구가 안되서 이미지를 분석 도구에 추가하여 프로세싱이 안될 경우 뭐랄까, 손도 못대고 더 이상 할 수 있는 것도 없다보니 아마 굉장히 아쉬울 수 있을 것 입니다. 그래도 포기하지 마시길 바랍니다. 충분히 연습하면 다음 시험에서는 하실 수 있으실 거에요! 상황에 따라 전문가들도 한번에 붙기 어려운 시험이기도 합니다. 포기만 하지 않는 다면 본인이 어떤 부분이 부족한지 알아가다 보면 충분히 합격할 수 있으실 거에요! (뭐.. 사실 합격한 사람들이나 이렇게 쉽게 말하는 거긴 하겠죠..)

• 또한 전혀 예상치 못한 문제 유형이 출제되는 것입니다.

  예를 들어 한번도 출제되지 않았던 bitlocker 문제나, 암호화된 vmware, 또는 문제 속에 문제를 넣은 CTF 형식의 문제의 경우 숙련되지 않고서는 4시간 이내에 풀기에는 사실상 매우 어려운 문제 일 것 입니다. 개념이 완벽히 잡히지 않아 대응 할 방법이 막히거나 본인이 공부하지 않는 방식의 접근법이 필요할 경우 아예 대응을 못할 경우 입니다.

  명확하게 정해진 시험 범위가 알려지지 않아시험 준비하는 분들 입장에서는 기출 문제 수준에서 연습을 할 수 밖에 없고, 아티팩트가 새로 나오는 것은 계속해서 기출 문제 기반으로 연습하여 대응해야 할 것입니다.

  사실 전공자들은 파일시스템, 윈도우 포렌식 전반적으로 이미 충분한 시간을 가지고 전체적으로 공부를 했기 때문에 대응이 가능할 것이지만, 비전공자들에게는 익숙하지 않은 서비스나, 특정 프로그램 관련 문제가 출제되면 (FTP, bitlocker, 가상머신 등..) 알면 맞추고 모르면 틀릴 수 밖에 없는 형태의 문제들도 언제든지 출제될 여지가 있습니다. (ex - 윈도우의 스티커노트, 윈도우 자체 메일 앱 관련 등..) 가능한 출제된 아티팩트, 문제 유형의 경우 많은 분들이 공유한 내용들을 모아 연습 문제에 포함하려고 하고는 있으나 시험에 무조건 합격할 정도의 모든 범위에 대해서 자료를 제공하기에는 어려운 부분이 있습니다. 그러나 완벽히 해결은 못하더라도 합격점수만 넘기면 되는 것이 또한 시험이기 때문에 포기하지 않으면합격할 기회는 올 것입니다.

• 마지막으로... 현재 주관처에서 제공하는 실기 연습 문제는 상당히 오래되었으나, 시나리오와 주요 증거 파일을 살펴보는 것은 시험 합격 여부를 떠나서 매우 좋은 포렌식 분석 경험이 될 것 입니다. (이런식으로 공들여 제작한 기출 문제 이미지를 공개하고, 합격자분들도 한번씩 풀어볼 수 있다면 사실상 포렌식 챌린지가 매시험마다 열리는 것이고, 최근 동향이 포함된 문제라면 더더욱 합격자분들도 재미나게 풀어볼 수 있지 않을까 하네요!)

주관처 제공 실습연습 문제

• 문제 서적 (절판됨) > https://www.aladin.co.kr/shop/wproduct.aspx?ItemId=192848124
• 디지털포렌식 전문가 2급(실기편) 제4장 3.1.~3. 실습파일 > https://exam.forensickorea.org/web/bbs/view/boardView.do?bbsId=1&nttId=13
• 디지털포렌식 전문가 2급(실기편) 제4장 3.4.~6. 실습파일 > https://exam.forensickorea.org/web/bbs/view/boardView.do?bbsId=1&nttId=9
• 디지털포렌식 전문가 2급(실기편) 제4장 3.7. 실습파일 > https://exam.forensickorea.org/web/bbs/view/boardView.do?bbsId=1&nttId=8

디지털 포렌식 2급 실기의 경우 완벽하게 복원이 어려운 것이, 문제 이미지를 공개하지 않기 때문에 출제자의 의도 등을 파악하기는 어렵습니다. 매번 전문가가 시험을 치룰수도 없을 뿐더러, 4시간 내에 완전히 오프라인 상태에서 완벽하게 모든 것을 분석하는 것은 사실 어려운 점이 많기 때문입니다. 포렌식 전공자 수준의 아주 긴 기간을 가지고 집중적인 공부를 한다면 합격하는데 문제가 없으나, 비전공자들도 기본적인 포렌식 절차, 기술적인 개념을 가지고 꾸준한 노력으로 합격할 수 있습니다. 사실 꾸준한 노력이 고시 공부하듯이 1년 내내 봐야하는 것은 아니고, 시험 임박한 시기에 바짝, 그리고 여러번 반복 하면서 포렌식 절차를 생각해보고, 최소한의 기술적 부분에 익숙해진다면 시험에 대비 할 수 있을 것이고 이렇게 포렌식 실기 연습 과정에서 알게된 부분과 본인의 아이디어를 접목하여 필요한 부분에서 잘 활용하시면 좋을듯 합니다!