실기시험 일정23회차접수 기간: 2024-10-14 ~ 10-25시험 날짜: 2024-11-23발 표: 2024-12-20종목디지털 포렌식 기초 실무, 실습형자격 검정 시간13:00 ~ 17:00(240분)응시료실기: 150,000원자격증 발급: 10,000응시자격제한 없음실기 도구2024-11-14 09:32:07 작성 글 기준 - 변경사항 적용 완료 제22회 국가공인 민간자격 디지털포렌식 전문가 2급 자격검정 실기시험 도구 안내입니다.고사장에서 제공되는 아래의 도구 목록은 다음과 같습니다.EnCase 23.2 / OpenText   (최신버전 같이 제공)FTK Imager 4.7.1.2 / AccessDataAutopsy 4.21.0 / BasisTechVolatility 2.6 / The Volat..

COC(Chain Of Custody)란- 체인 오브 커스터디는 디지털 포렌식 및 법적 절차에서 사용되는 개념 중 하나이다. - 증거가 수집, 보관, 분석, 전달 등 모든 일련의 과정을 기록을 말한다. - 무결성과 신뢰성을 유지하기 위해 사용된다.  주로 증거 고유 식별자(파일 이름, 일련 번호), 위치(보관 장소, 이동 경로), 증거 접근 기록, 무결성(해시값) 등을 기록한다고 한다.

* 본 내용은 디지털포렌식전문가 2급 준비를 하며 정리를 한거며 주관적 견해가 많이 들어가 있을 수 있습니다.  1. 쓰기 방지 설정시험 시작 후 USB를 받게 된다면 꽂기 전에 쓰기 방지 설정을 해야한다.EnCase를 이용한 쓰기 방지 또는 레지스트리 수정으로 쓰기 방지를 설정해야한다.  2. 이미지 생성쓰기 방지 설정이 되었다면 이미지 생성을 진행 해야한다. Encase 또는 FTK Imager 등 관련 도구를 이용해서 생성 해야하며, 작성자는 FTK Imager로 진행하였다. 그 후 Physical Drive 선택, USB 선택을 하면 다음 창으로 넘어가게 된다. Verify images after they are created와 Precalulate Progress Statistics 이렇게 두 ..

디지털 포렌식 압수 수색 절차1. 압수 수색 사전 준비- 영장작성 시, 범죄유형별 압수대상(컴퓨터, 이동전화, CCTV, USB 등)을 특정하고 피압수자의 IT 지식이나 압수대상의 규모(상주 인원, 매체 개수 등)에 따라 팀을 편성해야 한다. - 팀 편성 후 사전 회의를 하여 역할 분담, 정보 공유를 진행해야 한다.2. 영장제시 및 피압수자 면담 - 압수 수색영장은 처분을 받는 자에게 반드시 제시해야 한다.- 대상이 여러 명일 경우 또한 모두에게 제시하는 것이 원칙이다. - 관리자에게 제시하여도 물건을 소지하고 있는 다른 사람으로부터 압수하려면 따로 제시 필요하다.- 현실적으로 불가능한 상황이면 예외 법칙이 적용된다. - 피압수자와 참고인 분리는 필수 3. 수색 및 압수 - 모든 압수 과정은 촬영을 하여..

[디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)]https://inf.run/SRMh 해당 강의를 참조하여 적은 내용입니다.  포렌식 작업을 할 때 외부 또는 실수를 하여 증거물에 내용이 써지게 되면 무결성이 훼손된다.이러한 과정을 방지하기 위해 쓰기 방지 장비를 이용하거나 프로그램을 사용을 하여야하는데, 학생 신분상 돈이 없어 힘들다.  그래서 레지스트리를 수정하여 쓰기 방지를 작업하고자 한다. 단 해당 글은 USB만 적용된다. 외장 SSD은 적용이 안 된다.처음으로는 Window Key + R를 누른 후 regedit을 실행한다.(또는 검색으로 '레지스트리 편집기') 들어가면 왼쪽에 HKEY들이 있다. 이 키들 중 HKEY_LOCAL_MACHINE..

[디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)]https://inf.run/SRMh 해당 강의를 참조하여 적은 내용입니다. 데이터 크기의 표현Bit  무결성최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 함무결성이 깨지면 증거능력이 없어지므로, 포렌식의 최종 목적을 이루지 못함추가로 다른 증거들의 증거력을 약화시키는 결과가 나올 수도 있음Hash 값이 동일 해야함(MD5, SHA1 등)증거의 수집 및 분석, 봉인 이송과정이 적번하게 진행되었는지에 대한 증명쓰기방지디지털 증거 수집시 조사대상의 원본매체가 훼손되어 무겨렁이 깨지는 일을 막기 위해 다른 기기와 연결된 원본매체가 읽기만 가능하고 쓰기는 불가능하게 만들기 위해서 필수적..