A: Rekall 키워드 설명 – Rekall: Volatility에서 파생된 메모리 분석 도구로, 플러그인 기반 아키텍처를 사용하며 다양한 메모리 이미지 분석 기능 제공.

A: 헤더(Header) 키워드 설명 – 이메일 헤더: 이메일 메타데이터가 담긴 부분으로 송수신 IP, 경로, 발신자 정보 등이 포함되어 있음.

A: Recent Files / Jump List 키워드 설명 – Jump List: 윈도우7 이상에서 사용자가 최근 접근한 파일이나 프로그램 목록을 기록한 데이터. 포렌식에서 사용자 행위 분석에 유용함.

A: 원본 저장장치의 변경 방지 키워드 설명 – Write Blocker: 증거 수집 중 저장 장치에 데이터가 기록되는 것을 막는 장비. 데이터 무결성과 법적 증거 능력 확보에 필수적.

A: 파일 시스템 수준의 데이터만 추출 키워드 설명 – Logical Extraction: 운영체제가 제공하는 API를 통해 접근 가능한 데이터(예: 연락처, 문자, 앱 데이터 등)만 추출하는 방식. 루팅이나 탈옥 없이 가능

정답: ③ 키워드: Hash Value > 해시 값은 파일이 변경되었는지 확인하기 위한 고유한 식별자이며, 무결성 검증에 필수.

정답: ④ 키워드: FAT 삭제 마크 (E5h) > FAT에서 파일이 삭제되면 첫 문자만 E5h(16진수)로 바뀌고 나머지 데이터는 유지됨.

정답: ③ 키워드: e01 파일 > EnCase Evidence File Format의 확장자로, 메타데이터와 압축 기능이 포함됨.

정답: ② 키워드: Volatility > 메모리 분석에 특화된 오픈소스 도구. 프로세스, 네트워크 연결 등 다양한 아티팩트 추출 가능.

정답: ③ 키워드: Wireshark > 실시간 네트워크 트래픽 분석 도구. 패킷을 캡처하고 시각적으로 분석 가능.

정답: ③ 키워드: 슬랙 공간 > 파일보다 큰 클러스터 단위로 저장될 때 남는 빈 공간으로, 유효한 데이터가 남아있을 수 있음.

정답: ③ 키워드: 증거 수집 절차 > 원본을 변경하지 않고 이미징 후 해시값 생성으로 무결성을 보장함.

정답: ③ 키워드: 시그니처 분석 > 헤더 값 등 고유한 바이트 패턴을 기반으로 실제 파일의 형식을 식별함.

정답: ③ 키워드: Event Log > Windows 시스템 로그로 시스템 이벤트, 보안 이벤트, 응용프로그램 이벤트를 포함함.

정답: ④ 키워드: Chain of Custody (증거의 연속성) > 누가, 언제, 어떻게 증거를 취급했는지를 명확히 기록한 것으로 법적 증거 능력을 확보하기 위한 필수 조건.

정답: ② 키워드: Logical Image > 운영체제가 접근 가능한 파일만 추출. 빠르지만 삭제된 파일이나 은닉 데이터는 포함되지 않음.

정답: ② 키워드: Access Time (A-Time) > 사용자가 파일 내용을 읽거나 실행한 시간. 직접 열지 않아도 일부 백신 프로그램 등으로 갱신될 수 있음.

정답: ③ 키워드: Forensic Workstation > 포렌식 전용 분석 장비. 변경 금지, 이미지 생성, 다툴 호환성은 필수지만 원격제어는 보안상 권장되지 않음.

정답: ③ 키워드: MFT (Master File Table) > NTFS의 핵심 메타데이터. 파일의 생성/수정/접근 시간 등 타임라인 분석에 활용됨.

정답: ③ 키워드: Hash Value 비교 > 이미징 전/후의 해시값이 일치해야 이미지가 원본과 동일하다는 것이 입증됨.

정답: ④ 키워드: Data Carving > 파일 시스템 무시하고 헤더와 풋터(footer) 정보로 파일을 복원하는 분석 기법.

정답: ③ 키워드: inode > 파일의 실제 정보(위치, 권한, 시간 등)를 담고 있어 파일이 삭제되어도 잔여 흔적 분석에 유용함.

정답: ① 키워드: NTUSER.DAT > 사용자별 정보가 저장된 윈도우 레지스트리 파일로 최근 사용 기록, 자동 실행, 로그인 정보 등을 담고 있음.

정답: ④ 키워드: Chain of Custody > 증거의 연속성과 무결성을 입증하기 위한 핵심 관리 문서. 담당자, 시간, 장소 등 기록됨.

정답: ④ 키워드: history.db > 크롬, 파이어폭스 등 브라우저가 방문 기록을 저장하는 SQLite 기반 파일. 분석을 통해 사용자의 인터넷 사용 내역 추적 가능.

정답: ③ 키워드: Metadata > 파일 자체가 아닌, 파일을 설명하는 정보. 생성일, 수정일, 접근권한 등이 있음.

정답: ③ 키워드: 무결성(Integrity) > 증거 수집 이후 변경이 없음을 입증해야 법정에서 채택 가능. 해시값 비교가 이를 보장함.

정답: ② 키워드: LNK 파일 > 바로가기 파일로, 원본 파일의 위치, 실행 시간 등의 정보를 담고 있음. 최근 작업 분석에 유용.

정답: ① 키워드: MountedDevices > 외부 저장장치 연결 정보 (드라이브 문자 등)를 기록함. USB 추적에 활용됨.

정답: ③ 키워드: Unallocated Space > 파일 시스템상 현재는 할당되지 않았지만 실제 데이터 잔존 가능성이 있는 공간.

정답: ③ 키워드: 해시값 생성(Hashing) > 분석 전후 무결성 보증을 위한 고유값. 대표적으로 MD5, SHA-1, SHA-256 사용.

정답: ② 키워드: Autopsy > Sleuth Kit의 프론트엔드 GUI 도구. 파일 복구, 타임라인 분석 등 다양한 기능 제공.

정답: ③ 키워드: Live Forensics > 시스템이 꺼지기 전에 휘발성 정보를 수집. RAM, 네트워크 연결, 실행 프로세스 등 확보 가능.

아주 핵심을 찌르는 질문이야! 요약: **시그니처(signature)**는 **파일의 종류(type)**를 알려주지만, 확장자(extension) 자체를 알려주는 건 아니야. --- 자세히 설명하면: 1. 시그니처란? 파일의 **시작 부분(보통 몇 바이트)**에 기록된 고유한 패턴 이는 파일 형식을 식별하기 위한 것이지, 사람이 보는 .jpg, .pdf 같은 확장자를 나타내는 건 아님 2. 예시로 비교하면: --- 정리: 시그니처는 ‘이 파일은 어떤 형식이다’를 기술적인 방식으로 표현한 것 실제 확장자명(.pdf, .jpg)은 파일 이름에 따로 붙은 것이고, 시그니처를 통해 그것과 일치하는지 확인 가능함 (확장자 스푸핑 탐지에도 사용됨) --- 원하면 시그니처-확장자 매핑표를 더 길게 만들어줄 수도 있어!

좋은 질문이야. 파일 삭제 시 메타데이터와 시그니처 중 무엇이 남는지는 파일 시스템과 삭제 방식에 따라 달라지지만, 일반적인 경우를 기준으로 설명해 줄게. --- 일반적인 파일 삭제 (예: Windows의 NTFS, FAT) 1. 메타데이터: 삭제되거나 사용 불가능한 상태로 표시됨 FAT: 디렉터리 엔트리의 파일 이름 첫 글자가 E5로 바뀌며 삭제 표시. NTFS: MFT(마스터 파일 테이블)에서 해당 항목을 삭제로 표시하지만 실제 레코드는 남아 있음. 즉, 완전히 사라지지는 않지만, OS는 그걸 ‘삭제됨’으로 인식하고 덮어쓸 준비를 함. 2. 파일 시그니처 (Signature): 시그니처는 파일의 내용(헤더 부분)에 포함되어 있기 때문에, 파일이 덮어쓰기 전까지는 보존됨 예: JPG 파일은 FFD8, PDF는 %PDF로 시작하는 식. --- 결론 삭제 후에도 시그니처는 남아 있을 수 있음. 메타데이터는 논리적으로 삭제되지만 실제로는 디스크에 잔존할 수 있음. --- 그래서 포렌식에서는? 파일 카빙(File Carving) 기법을 사용해서 시그니처 기반으로 파일을 복원 (메타데이터가 없어도 파일 내용이 남아 있으면 복원이 가능함) --- 필요하면 NTFS 기준의 삭제 구조, 또는 EnCase, FTK 등에서 이걸 어떻게 분석하는지도 설명해줄게!

< 사용자가 사용한 흔적 > "아티팩트(artifact)"는 디지털 포렌식에서 아주 중요한 용어야. 쉽게 설명하면: --- 디지털 포렌식에서의 아티팩트란? **컴퓨터, 스마트폰, 네트워크 등 디지털 기기 사용의 '흔적'이나 '기록물'**을 말해. 즉, 사용자가 뭘 했는지를 보여주는 단서야. --- 예시로 보는 아티팩트 --- 한 줄 요약: **아티팩트란, 디지털 기기에서 사용자가 뭘 했는지 남긴 ‘흔적들’**이야. 이걸 분석해서 사건의 시간, 사용자 행위, 침입 여부 등을 밝혀내는 게 포렌식의 핵심이야. --- 더 자세히 알고 싶은 아티팩트가 있다면 (예: 브라우저 아티팩트, 메타데이터 아티팩트 등), 종류별로 정리해줄게!

< 윈도우 설정과 사용자 활동기록 > 좋아, "레지스트리(Registry)"는 디지털 포렌식에서도 아주 중요하고, 윈도우 운영체제의 핵심 구성 요소 중 하나야. 간단하게 설명할게. --- 레지스트리(Registry)란? Windows 운영체제에서 시스템과 프로그램의 설정 정보를 저장하는 데이터베이스야. > 쉽게 말해, **"윈도우와 프로그램의 모든 행동 지침서이자 기억장소"**라고 생각하면 돼. --- 어떤 정보가 저장되어 있나? --- 포렌식에서 레지스트리가 중요한 이유 사용자 활동을 시간순으로 추적할 수 있음 삭제된 파일 흔적, USB 연결 이력, 악성코드의 실행 흔적도 남아 있음 예를 들어, Run, RunOnce 키를 통해 시작 프로그램 확인 가능 --- 레지스트리 주요 파일 위치 (윈도우 기준) --- 요약 정리 레지스트리는 윈도우의 설정과 기록 저장소 포렌식 분석 시 사용자 행동 추적에 핵심적인 단서 역할을 함 삭제해도 흔적이 남아 있는 경우 많음 → 포렌식에서 매우 중요 --- 원하면 포렌식에서 자주 분석하는 레지스트리 키 목록도 정리해줄게!

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

HKLM\SYSTEM\MountedDevices

HKCU\Software\Microsoft\Windows\Shell\BagMRU

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

A: 타임라인 분석 (Timeline Analysis) 키워드 설명: 타임라인 분석: 파일 생성, 접근, 수정, 삭제 시간(MAC 시간)을 기반으로 사건 흐름을 시간순으로 재구성함.

A: 브라우저 아티팩트 (Browser Artifact) 키워드 설명: 브라우저 아티팩트: 웹 사용자의 행동 흔적을 나타내는 파일로, 방문 사이트, 로그인 정보 등을 포함할 수 있음.

A. 증거보존 절차 키워드 설명: < 수분보제 > (수집 분석 보관 제출) 증거보존 – 수집한 데이터가 위·변조 없이 법적 효력을 갖도록 원본을 그대로 유지하는 절차.

A. 파일이 차지하지 않는 클러스터 내의 빈 공간 < 클러스터 빈공간 > 키워드 설명: Slack Space – 삭제된 데이터가 남아 있을 수 있는 여유 공간으로, 중요한 흔적이 담겨 있을 수 있음.

A. 무결성 검사 키워드 설명: 무결성 검사 – 해시값 등을 활용해 데이터가 변경되었는지를 확인하는 기술.

A. 라이브 포렌식 키워드 설명: 라이브 포렌식 – 시스템이 실행 중일 때 RAM, 네트워크 연결, 실행 중인 프로세스 등을 수집하는 방식.

A. 레지스트리 키워드 설명: < 윈도우는 레지스트리 > 레지스트리 – 윈도우 설정값과 시스템 정보가 저장되는 DB 형태의 구조로, 다양한 사용자 활동 흔적이 기록됨.

A: 해시(Hash) 키워드 설명: **해시(Hash)**는 데이터를 고정된 길이의 문자열로 변환한 값으로, 파일이 변경되면 해시 값도 바뀌어 무결성 검증에 사용돼.

A: 로그 분석(Log Analysis) 키워드 설명: 로그 분석은 OS, 애플리케이션, 네트워크 장비 등에서 발생한 이벤트 기록을 분석해 행위 추적에 활용돼.

A: 라이브 포렌식(Live Forensics) 키워드 설명: 라이브 포렌식은 시스템이 동작 중일 때 RAM, 프로세스, 네트워크 세션 등 휘발성 정보를 수집하는 기법이야.

A: 디렉터리 엔트리(Directory Entry) 키워드 설명: 디렉터리 엔트리에는 파일 이름, 위치 정보 등이 저장되며 삭제 시 헤더가 변조되고, 실제 데이터는 남아 있을 수 있어.

A: 이미징(Imaging) 키워드 설명: 이미징은 원본 디스크를 비트 단위로 복사하여 사본을 만들고, 원본은 보존하면서 분석에 사용하는 절차야.

A: MFT(Master File Table) 키워드 설명: MFT는 NTFS의 메타데이터 테이블로, 삭제 시 해당 항목이 사용 가능으로 표시되며, 복구 가능성이 있어.

A: 레지스트리(Registry) 키워드 설명: 레지스트리는 윈도우의 설정 데이터베이스로, USB 연결 내역, 사용자 활동 기록 등을 포함해 중요한 증거가 돼.

A: 스테가노그래피(Steganography) 키워드 설명: 스테가노그래피는 이미지, 오디오, 비디오 등에 데이터를 숨겨서 존재 자체를 감추는 은닉 기술이야.

A: 샌드박스(Sandbox) 키워드 설명: 샌드박스는 의심 파일을 격리된 환경에서 실행해 악성코드나 해킹 도구가 시스템에 영향을 주지 않도록 분석하는 도구야.

A: 타임 스탬프(Time Stamp) 키워드 설명: 타임 스탬프는 파일 생성, 수정, 접근 시간을 나타내며, 조작되었거나 **시차 문제(Time Drift)**가 있는지 확인해야 해.

A. wtmp → wtmp는 Linux/Unix 시스템에서 사용자 세션 정보를 기록해주는 로그 파일이야.

A. MFT (Master File Table) → MFT는 NTFS의 핵심으로, 각 파일의 이름·크기·위치 등의 정보를 저장하는 테이블이야.

A. .pcap → .pcap 파일은 네트워크 트래픽을 기록한 파일로, Wireshark 같은 툴로 분석할 수 있어.

A. .E01 → .E01은 EnCase에서 사용하는 법적 증거 보존용 이미지 파일 포맷이야.

A. 증거물 인수인계 절차 (Chain of Custody) → Chain of Custody는 누가 언제 어떤 방식으로 증거를 다뤘는지를 기록해, 증거의 신뢰성을 확보해줘.

A. Run → Run 키는 윈도우 시작 시 자동으로 실행되는 프로그램의 경로 정보를 담고 있어.

A. 이미징(Imaging) → Imaging은 증거 훼손 없이 분석용 복사본을 만들기 위한 기본적인 포렌식 절차야.

A. 파일 카빙(File Carving) → File Carving은 시그니처 기반으로 손상되거나 삭제된 파일을 복원할 때 사용돼.

A. 슬랙 공간(Slack Space) → Slack Space는 파일 단위 저장 후 남은 빈 공간으로, 복구 가능한 데이터가 남아 있을 수 있어.

A. Unix/Linux [키워드: grep] grep은 Unix 계열 시스템에서 특정 문자열 검색에 사용되는 명령어야. 포렌식 로그 분석 시 유용해.

A. 파일의 끝에서 클러스터의 끝까지의 남은 공간 < 클러스터에서 파일이 사용하고 남은 공간 > [키워드: Slack Space] Slack Space는 할당된 클러스터 내 사용되지 않은 공간으로, 여기에 이전 파일 조각이 남아있을 수 있어 중요한 단서가 될 수 있어.

A. 사건 발생 시각과 관련된 활동을 추적하기 위해 < 사건과 관련된 활동을 추적하기 위해 > [키워드: Timeline Analysis] 파일 생성, 수정, 접근 시간 등을 바탕으로 행위 순서 추적에 사용돼. 사건 재구성에 매우

A. 디지털 포렌식 분석 도구 < 디지털포렌식 툴 두개 > [키워드: EnCase, FTK] EnCase와 FTK는 둘 다 이미징, 분석, 보고서 생성을 지원하는 상용 디지털 포렌식 툴이야.

A. MD5 또는 SHA-1 [키워드: 해시(Hash)] MD5, SHA-1 등은 파일의 해시값을 생성하여 증거가 변경되지 않았음을 검증하는 데 사용돼

A. 메모리 덤프 [키워드: 메모리 덤프] RAM은 전원이 꺼지면 사라지기 때문에 가장 먼저 메모리 덤프를 떠야 해. 프로세스, 키 입력, 네트워크 정보 등이 들어 있어.

A. Recent 폴더 또는 레지스트리 [키워드: 최근 문서 / 레지스트리] 사용자가 연 파일의 경로는 %APPDATA%\Microsoft\Windows\Recent 또는 레지스트리를 통해 추적 가능해.

A. 레지스트리 (MountedDevices, USBSTOR 키 등) [키워드: USB 흔적] USB 연결 정보는 **레지스트리 키 (USBSTOR, MountedDevices)**에서 확인할 수 있어. 제조사, 장치 ID 정보도 있음.

A. 증거의 연속성과 신뢰성을 보장하기 위해 [키워드: Chain of Custody] 증거가 어떻게 수집되고, 누가 다뤘는지를 기록하는 문서로, 법적 효력 확보를 위해 필수야.

hosts 파일 = 컴퓨터가 먼저 참조하는 '수동 주소록' www.naver.com → 223.130.195.200 이런 식으로 도메인 이름과 IP 주소를 사람이 직접 연결해 놓은 목록이에요.

사람은 www.naver.com처럼 도메인 이름을 기억하기 쉽지만, 컴퓨터는 223.130.195.200 같은 숫자로 된 IP 주소만 이해해요. 그래서 도메인 → IP 주소 변환 과정이 필요해요

변환 순서(이름 해석 우선순위) 1단계. DNS 캐시 확인 이전에 접속했던 기록이 로컬 캐시에 있으면, 바로 사용 2단계. hosts 파일 확인 hosts 파일에 수동으로 지정한 주소가 있으면, 그걸 우선 사용 3단계. DNS 서버에 질의 캐시와 hosts 파일에 없으면, 컴퓨터는 **지정된 DNS 서버(보통 ISP 제공)**에 "이 도메인의 IP 뭐야?" 하고 질문 4단계. DNS 서버가 응답 DNS 서버가 해당 도메인의 IP 주소를 알려줌 예: www.naver.com → 223.130.195.200 5단계. 연결 시작 컴퓨터는 받은 IP로 실제 서버에 접속하고, 응답 결과는 DNS 캐시에 저장됨 (다음에 더 빠르게 접속하기 위해)

< 하드디스크나 usb같은 기억장치에 파일들을 어떻게 저장하고 로드할지 정해놓은 규칙모음집> 디스크에 데이터를 저장하고 관리하는 방법과 구조를 말해요. 즉, 컴퓨터가 하드디스크, USB 등에 어떻게 파일을 저장하고 꺼내 쓸지를 정하는 규칙입니다.

**WebCacheV01.dat** 파일은 Internet Explorer 10 이후부터 도입된 구조로, 히스토리(방문 기록), 캐시, 쿠키 정보가 모두 통합 저장되어 있는 ESE(Extensible Storage Engine) 형식의 데이터베이스 파일입니다.

정답: X (틀린 설명) ← 문제의 정답 쿠키는 단순한 텍스트 파일일 뿐이고, 실행 기능이 없기 때문에 바이러스를 전송하거나 악성코드를 실행할 수 없습니다. 다만, 프라이버시 침해(예: 광고 추적)는 가능하지만 직접적인 해킹 도구는 아님

▶ ❌ X (틀린 설명) ← 문제의 정답 시크릿 모드는 내 컴퓨터에만 흔적을 안 남기는 기능일 뿐, 인터넷 서비스 제공업체(ISP), 회사(고용주), 웹사이트 관리자 등은 내 접속 기록을 추적할 수 있습니다.

A. 파일의 메타데이터를 저장한다. 키워드: MFT (Master File Table) NTFS에서 모든 파일의 이름, 크기, 위치, 생성·수정 시간 등의 메타데이터를 기록하는 핵심 구조.

A. 보안(Security) 로그 키워드: 이벤트 로그 (Event Log) Windows는 시스템, 보안, 응용 프로그램 로그를 저장하며, 특히 보안 로그는 로그인, 권한 변경 등 추적에 필수.

A. WebCacheV01.dat 키워드: WebCacheV01.dat IE 10 이상에서 사용되는 ESE 데이터베이스 파일로, 방문한 사이트(히스토리), 쿠키, 캐시 정보 등을 포함.

A. 파일이 마지막으로 열려 읽힌 시간 키워드: MAC 타임스탬프 Modified (수정), Accessed (접근), Created (생성) 시간으로 구성된 파일 타임스탬프의 삼위일체.

A. Received 키워드: 이메일 헤더 (Received 필드) 메일이 어느 서버를 거쳐 왔는지를 시간순으로 기록, 위·변조 분석과 진위 확인에 필수

A. /var/log/auth.log 키워드: Linux 로그 (auth.log) 사용자 인증, sudo, SSH 로그인 등의 기록이 남는 파일, 침입 흔적 파악에 중요.

A. 사용자 활동 흔적이 남은 디지털 흔적 키워드: 아티팩트 (Artifact) 웹 기록, 캐시, 레지스트리, 메타데이터 등 사용자나 시스템이 남긴 포렌식 단서를 말함.

A. 로그인 상태, 사용자 설정 정보 등 키워드: 쿠키 (Cookie) 웹사이트 방문 시 생성되는 작은 텍스트 파일, 인증 정보나 설정을 유지하는 데 사용됨.

A. 실제 데이터보다 작은 파일의 남는 공간에 있는 잔여 데이터 키워드: Slack Space 파일의 크기가 클러스터보다 작을 경우, 나머지 빈 공간에 이전 파일 조각이 남아있을 수 있음.

좋은 질문이야! WebCacheV01.dat와 index.dat는 **Internet Explorer(IE)**의 버전에 따라 사용되는 웹 브라우징 데이터 저장 파일인데, 둘의 차이를 정확히 알아두는 건 디지털포렌식에서 중요해. --- index.dat vs WebCacheV01.dat --- 핵심 요약: index.dat는 구버전 IE에서 사용되며, 각 기능별로 별도 저장. (예: 히스토리용 index.dat, 쿠키용 index.dat 따로 있음) WebCacheV01.dat는 신버전 IE부터 도입되어, 히스토리/쿠키/캐시가 모두 통합된 하나의 ESE 데이터베이스에 저장돼. --- 필요하다면, 각 파일에서 어떤 아티팩트(방문 시간, URL 등)를 추출할 수 있는지도 정리해줄게.

A. 시스템 시간 (System Time) 키워드: 휘발성 데이터 수집 순서 휘발성 데이터는 부팅/종료 시 사라지므로 시스템 시간 → 네트워크 연결 → 프로세스 정보 → 메모리 덤프 순으로 확보하는 것이 일반적

A. .dmp 키워드: 메모리 덤프 (.dmp) 시스템 충돌 또는 강제 덤프 시 생성되는 RAM 이미지 파일, 프로세스, 명령어, 악성코드 흔적이 포함될 수 있음.