디지털포렌식 문제집2

100問 • 8ヶ月前

김호수

通報

問題一覧

아티팩트란?

사용자나 시스템의 활동이 남긴 흔적이나 데이터 조각을 의미해요.

NAT

network address translation / 공인IP 사설IP 서로 변환

디지털 증거의 원본성과 동일성을 유지하기 위해 사용하는 해시 함수의 대표적인 예는?

MD5, SHA-1, SHA-256

FAT 파일 시스템에서 파일이 삭제되었을 때, 파일 이름의 첫 글자는 어떤 문자로 대체되는가?

E5h

윈도우에서 최근 실행한 프로그램의 흔적을 확인할 수 있는 레지스트리 경로는?

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

웹 브라우저 방문 기록, 쿠키, 캐시 등의 흔적을 수집하는 주요 목적은?

사용자 활동 내역 확인

리눅스 시스템에서 로그 파일이 저장되는 기본 디렉토리는?

/var/log

네트워크 포렌식에서 패킷을 실시간으로 수집하고 분석하는 대표적인 도구는?

Wireshark

이메일 포렌식에서 헤더 분석을 통해 확인할 수 있는 정보는?

송신 IP, 발신 시간, 경유 서버 정보

디지털 포렌식 분석 과정에서 사용자의 명시적 동의 없이 원격 시스템에 접근하는 것은 어떤 문제를 야기할 수 있는가?

위법 행위 및 증거능력 상실

안티포렌식 기법 중 파일 시스템의 메타데이터를 조작하여 타임라인 분석을 어렵게 하는 기법은?

타임스템핑(Timestomping)

파일 시스템에서 ‘Slack Space’란 무엇인가?

파일이 차지하는 클러스터의 남은 미사용 공간

로그 파일 위조나 삭제 흔적을 포착하기 위해 분석하는 대표적인 로그 파일은?

Windows Event Log (.evtx)

웹브라우저가 자동 저장하는 입력 폼 데이터나 검색어는 어느 파일에 남는가?

WebCacheV01.dat (Edge/IE), Places.sqlite (Firefox)

디지털 증거 보관 시 체인을 유지하기 위해 작성하는 문서는?

Chain of Custody 문서

하드디스크에서 데이터가 실제로 사라지지 않고 잔존하는 현상을 무엇이라 하는가?

데이터 잔류성 (Data Remanence)

시스템 시간 조작 여부를 판단하기 위해 확인할 수 있는 지표는?

타임라인 분석 (로그·파일 생성/수정 시간 비교)

하드디스크의 모든 데이터를 섹터 단위로 그대로 복제하는 과정은?

디스크 이미징 (Disk Imaging)

안드로이드 디바이스에서 데이터를 추출하는 방법 중 루팅 없이 가능한 방식은?

논리적 추출 (Logical Extraction)

USB 저장장치를 분석할 때 흔히 사용하는 윈도우 레지스트리 키는?

SYSTEM\CurrentControlSet\Enum\USB

NTFS 파일 시스템에서 파일의 기본 정보를 저장하는 구조는?

MFT (Master File Table)

디지털 증거에서 해시(Hash)의 주요 목적은?

무결성 검증

웹 브라우저 활동 기록을 분석할 때 주로 확인하는 아티팩트 파일은?

History, Cookies, Cache

윈도우에서 최근 열어본 파일 정보를 기록하는 파일은?

RecentFiles 또는 LNK 파일

로그 분석에서 흔히 사용되는 리눅스 명령어 중 "로그 파일에서 문자열을 검색"하는 명령어는?

grep

포렌식 이미지 파일 포맷 중 EnCase에서 사용하는 확장자는?

.E01

포렌식 분석 시 ‘슬랙 공간(Slack Space)’이란?

파일이 차지하는 마지막 클러스터의 남는 공간

포렌식에서 RAM 덤프를 분석할 때 주로 사용하는 도구는?

Volatility

디지털 증거 수집 절차에서 '획득(Acquisition)' 단계에서 주의할 점은?

증거 훼손 없이 정밀 복제(이미징)를 수행해야 함

FAT 파일 시스템에서 삭제된 파일은 어떤 방식으로 식별되는가?

파일 이름의 첫 문자가 0xE5로 변경됨

디지털 증거에서 'MD5 해시'가 사용되는 이유는?

데이터 무결성 검증 및 위조 방지

USB 장치 연결 기록을 확인할 수 있는 Windows 레지스트리 경로는?

SYSTEM\CurrentControlSet\Enum\USBSTOR

포렌식 이미지 생성 시 'bit-by-bit copy'의 의미는?

저장 매체의 모든 섹터를 빠짐없이 동일하게 복사함

휘발성 데이터 수집 시 가장 먼저 수집해야 하는 항목은?

메모리(RAM) 내용

이메일 포렌식에서 '헤더(header)' 분석을 통해 얻을 수 있는 주요 정보는?

송신자 IP, 메일 경로, 전송 시간 등

FTK에서 'data carving' 기능은 어떤 목적으로 사용하는가?

파일 시스템 정보 없이도 파일 조각에서 특정 파일을 복원하기 위함

Slack space는 어떤 종류의 은닉 기법에 악용될 수 있는가?

파일 내부의 남은 공간에 데이터를 숨기는 스테가노그래피

FTK Imager에서 "Verify Image" 기능의 주요 목적은?

이미지 파일의 무결성을 확인하기 위함이다

윈도우 시스템에서 ‘pagefile.sys’ 파일의 포렌식적 의미는?

메모리에서 디스크로 스왑된 데이터를 담고 있어 사용자의 흔적을 복원하는 데 유용하다.

로그파일 분석에서 ‘lastlog’ 파일은 어떤 정보를 담고 있는가?

사용자별 마지막 로그인 정보를 기록한다.

SSD에서 TRIM 명령이 포렌식 수사에 미치는 영향은?

삭제된 데이터의 복구 가능성을 크게 낮춘다.

이메일 포렌식에서 ‘헤더 분석’의 주요 목적은?

발신자, IP 주소, 메일 서버 경로 등을 추적하기 위해서다.

EnCase에서 사용하는 증거 파일 포맷은 무엇이며, 그 특징은?

E01 포맷이며, 해시값을 포함한 메타데이터를 저장한다.

리눅스 시스템의 로그파일 중 부팅 정보 관련 로그는 어떤 파일에 저장되는가?

/var/log/boot.log

파일 시스템 분석에서 MAC 타임스탬프에서 ‘M’은 무엇을 의미하는가?

Modified - 파일의 내용이 마지막으로 수정된 시간이다.

‘Write Blocker’ 장비의 포렌식적 목적은?

원본 저장 장치에 대한 쓰기를 차단하여 증거를 보호하는 것이다.

메타데이터 기반 파일 검색에서 ‘EXIF’ 정보는 주로 어떤 파일에 적용되며, 어떤 정보를 포함하는가?

JPEG 등 이미지 파일에 적용되며, 촬영 날짜, 위치, 카메라 정보 등을 포함한다.

디지털 증거의 법적 효력을 보장하기 위한 절차적 조건 두 가지는?

적법한 수집과 증거보존(무결성 보장)

FTK에서 'file carving' 기능의 주요 목적은?

파일 시스템 메타데이터가 없어도 파일 내용을 기반으로 복구

NTFS에서 파일 삭제 시 변경되는 MFT의 상태는?

파일 이름 앞에 '삭제 플래그'가 설정되어 삭제로 표시됨

메모리 덤프 분석에서 자주 사용되는 툴 중 하나는?

Volatility

스마트폰 포렌식 시, 루팅이나 탈옥의 목적은?

시스템 영역 접근 권한 확보 (데이터 추출 범위 확대)

로그 분석 시 '타임 스탬프 변조 여부'를 판단하는 대표적인 방법은?

다른 로그 간 타임라인 비교, 타임존 확인

USB 사용 흔적을 윈도우에서 확인할 수 있는 주요 레지스트리 경로는?

SYSTEM\CurrentControlSet\Enum\USB

네트워크 포렌식에서 '패킷 캡처 도구'로 널리 사용되는 도구는?

Wireshark

디지털 서명은 어떤 두 가지 보안 성질을 제공하는가?

무결성 보장, 송신자 인증

윈도우 OS에서 'Prefetch' 파일의 주요 포렌식 정보는?

실행 프로그램의 경로, 실행 횟수, 마지막 실행 시간

로그(log)의 3대 구성 요소는 무엇인가?

발생 시간, 발생 위치, 이벤트 내용

로그란?

시스템에서 발생한 사건을 기록한 정보

슬랙영역이란?

슬랙 영역: 파일보다 클러스터가 더 크면 남는 빈 공간

디지털포렌식 절차에서 '식별' 단계의 주요 목적은?

어떤 데이터가 증거로 사용 가능한지 찾는 단계

이메일 포렌식에서 메일의 진위 여부 확인에 사용되는 정보는?

헤더 정보 (발신자 IP, 경로, 인증 등) 이메일 헤더: 메일 송·수신 과정 기록 발신자 IP, 경유 서버 등 위·변조 여부 확인 가능

FAT 파일 시스템에서 삭제된 파일의 첫 글자는 무엇으로 대체되는가?

FAT: 오래된 파일 시스템 0xE5: 삭제 표시용 헥사 코드. 파일은 지워진 척만 하고 남아 있음

웹 브라우저 포렌식에서 인터넷 사용 흔적을 찾을 수 있는 주요 아티팩트는?

A: 히스토리, 쿠키, 캐시 > 키워드 설명: 히스토리: 방문한 웹사이트 목록 쿠키: 로그인 등 사용자 정보 캐시: 페이지/이미지 등 임시 저장 파일

디지털 증거에서 해시(Hash) 값의 역할은?

A: 무결성 검증과 동일성 확인 > 키워드 설명: 해시 값: 데이터의 '지문' 같은 값 무결성: 변경되었는지 확인 동일성: 두 파일이 같은지 비교

포렌식 복제 시 사용되는 'Write Blocker'의 기능은?

A: 원본 저장장치에 쓰기 방지 > 키워드 설명: Write Blocker: 읽기만 가능하게 해 원본 훼손 방지 복사 중 실수로 기록되는 것을 막음

윈도우에서 사용자 활동 흔적을 확인할 수 있는 대표적인 파일은?

A: 최근 문서, 레지스트리, Prefetch > 키워드 설명: 최근 문서: 마지막으로 열었던 파일 목록 레지스트리: 시스템 설정 및 USB, 실행 흔적 Prefetch: 자주 실행한 프로그램 정보

디지털포렌식에서 'Chain of Custody(증거 인수인계서)'의 목적은?

A: 증거의 연속성과 신뢰성 보장 > 키워드 설명: Chain of Custody: 누가, 언제, 어떤 방식으로 증거를 다뤘는지 기록 법정 제출 시 증거의 정당성을 확보하는 데 필수

파일 시스템 분석에서 '메타데이터(Metadata)'란 무엇을 의미하는가?

A: 파일의 속성 정보를 담은 데이터 (예: 생성일, 크기, 위치 등) > 키워드 설명: 메타데이터: '데이터에 대한 데이터'. 파일 자체가 아니라 파일을 설명하는 정보 포렌식에서는 파일 생성·수정·접근 시간 등을 추적하는 데 중요

EnCase와 FTK 같은 툴의 주요 공통 기능은?

A: 디지털 증거의 수집, 분석, 보고서 생성 > 키워드 설명: EnCase, FTK: 대표적인 디지털포렌식 분석 툴 증거 복사(이미징), 해시 계산, 파일 복구, 타임라인 분석 등 지원

타임라인 분석에서 사용하는 시간 정보 3가지는?

A: 생성 시간(Created), 수정 시간(Modified), 접근 시간(Accessed) > 키워드 설명: MAC 타임(MAC time): 파일의 주요 시간 정보 시간 간 불일치나 순서로 사용자 행위 분석 가능

휘발성 데이터 수집 시 가장 먼저 해야 할 작업은?

A: 메모리(RAM) 덤프 > 키워드 설명: 휘발성 데이터: 전원 끄면 사라지는 데이터 (RAM, 네트워크 상태 등) RAM 덤프: 실행 중인 프로그램, 암호, 네트워크 연결 등 포함

윈도우 시스템에서 최근 삭제된 파일을 임시로 보관하는 위치는?

A: 휴지통 (Recycle Bin) > 키워드 설명: 휴지통: 삭제되었지만 실제로는 파일 경로만 바뀌고 내용은 그대로 포렌식 도구로 분석 가능

MAC 주소는 네트워크에서 어떤 기능을 하는가?

A: 네트워크 장치의 고유 식별 > 키워드 설명: MAC 주소: 네트워크 카드마다 있는 고유 주소 식별자로, 특정 컴퓨터가 언제 접속했는지 추적 가능

MAC 주소는 네트워크에서 어떤 기능을 하는가?

A: 네트워크 장치의 고유 식별 > 키워드 설명: MAC 주소: 네트워크 카드마다 있는 고유 주소 식별자로, 특정 컴퓨터가 언제 접속했는지 추적 가능

디스크 이미징 과정에서 사용하는 주요 포맷 2가지는?

A: E01, dd > 키워드 설명: E01: EnCase 이미지 포맷 (압축, 해시 포함) dd: 리눅스 기반 원시(raw) 이미지 포맷 (무가공 복사)

키로거(Keylogger)의 주된 기능은?

A: 사용자의 키보드 입력을 기록 > 키워드 설명: 키로거: 비밀번호, 대화 내용 등을 몰래 기록하는 악성 프로그램 포렌식 분석 시 사용자 활동 확인 수단

ARP 스푸핑(ARP Spoofing) 공격의 목적은?

A: 네트워크 내 다른 장치의 트래픽을 가로채기 > 키워드 설명: ARP: IP와 MAC 주소를 연결하는 프로토콜 스푸핑: 공격자가 자신의 MAC을 타인의 것처럼 위조해 데이터 탈취

로그파일에서 '오버라이팅(Overwriting)'이 발생하면 어떤 문제가 생기는가?

A: 기존 로그가 새로운 로그로 덮여써져 과거 기록이 손실됨 > 키워드 설명: 오버라이팅: 새 데이터가 기존 데이터 위에 저장되어 기록이 지워짐 포렌식에서는 증거 은폐 수단이 되기도 함

디지털 증거 수집 시 가장 먼저 수집해야 하는 데이터는?

A: 휘발성 데이터 [키워드 설명] 휘발성 데이터: 전원이 꺼지면 사라지는 데이터로, RAM, 네트워크 연결 정보, 실행 중인 프로세스 등이 해당. 가장 먼저 확보해야 함.

디지털포렌식에서 'Write Blocker'의 주된 기능은?

A: 증거 저장장치에 쓰기 방지 [키워드 설명] Write Blocker: 수집 대상 저장장치에 변경이 일어나지 않도록 물리적·논리적으로 쓰기를 막는 장치. 증거물 보호의 핵심 도구.

포렌식 과정에서 ‘해시 값’은 어떤 목적으로 사용되는가?

A: 데이터 무결성 검증 [키워드 설명] 해시 값: 입력 데이터에 대해 고유한 고정 길이의 문자열을 생성하는 값. 이미지나 파일이 변경되지 않았음을 확인하는 데 사용.

디지털 증거물의 연속적인 관리 절차를 무엇이라고 하는가?

A: 증거물의 연쇄적 보관 (Chain of Custody) [키워드 설명] Chain of Custody: 증거가 수집된 후 법정 제출까지의 모든 이동과 접근 과정을 문서화하여 증거의 신뢰성을 보장함.

파일 시스템에서 파일이 삭제되어도 데이터를 복구할 수 있는 이유는?

A: 실제 데이터는 디스크에 그대로 남아 있기 때문 [키워드 설명] 논리적 삭제: 파일 시스템의 인덱스(예: MFT, FAT 등)에서만 삭제 표시가 되고, 실제 데이터는 덮어쓰기 전까지 유지됨.

FAT 파일 시스템에서 파일 삭제 시 변경되는 영역은?

A: 디렉터리 엔트리 [키워드 설명] 디렉터리 엔트리: 파일명, 위치, 시간 정보 등이 저장된 영역으로, 삭제 시 첫 글자를 ‘E5h’ 등으로 바꿔 삭제 표시를 함.

네트워크 포렌식에서 ‘패킷 스니핑’의 목적은?

A: 네트워크 트래픽 분석 [키워드 설명] 패킷 스니핑: 네트워크 상에서 오가는 데이터 패킷을 가로채 분석하는 기법으로, 침입 탐지나 이상 행위 추적에 활용됨.

리눅스 파일 시스템에서 파일의 메타데이터를 저장하는 구조는?

A: inode [키워드 설명] inode: 파일의 위치, 크기, 접근 권한, 생성/수정 시간 등 파일 정보를 저장하는 구조체. 실제 데이터는 블록에 저장됨.

EnCase나 FTK와 같은 도구는 어떤 작업을 수행하는가?

디지털 증거 수집 및 분석 [키워드 설명] EnCase / FTK: 법적 효력이 있는 방식으로 디지털 증거를 수집하고 분석하는 상용 포렌식 도구들. 이미지 생성, 검색, 복구 기능 제공

윈도우 시스템에서 'Prefetch 파일'은 무엇을 나타내는가?

실행된 프로그램의 흔적 < 미리가져오기 > [키워드 설명] Prefetch 파일: Windows에서 프로그램을 실행할 때 생성되는 파일로, 해당 프로그램이 언제 실행되었는지 등의 정보를 포함함.

쿠키

장바구니 등 로그인 정보

캐시

돈 이미지 등 임시저장파일

히스토리

방문기록

디지털 증거에서 'Hash 값'을 활용하는 주요 목적은 무엇인가?

A: 데이터의 무결성 검증 키워드 설명 – Hash 값: 원본 데이터가 변경되지 않았음을 증명하기 위해 사용하는 고유한 고정 길이의 값. 대표적으로 SHA-1, SHA-256 등이 있음.

무결성이란?

변경되지 않았음

FAT 파일 시스템에서 삭제된 파일의 첫 번째 문자에는 어떤 값이 들어가는가?

A: E5h 키워드 설명 – FAT & E5h: FAT(File Allocation Table)은 DOS 계열의 파일 시스템이며, 삭제된 파일은 디렉터리 엔트리의 첫 바이트가 E5h(삭제 표시)로 덮여씀.

윈도우 시스템의 레지스트리에서 사용자 계정 정보를 확인할 수 있는 주요 하이브는?

A: SAM 키워드 설명 – SAM (Security Account Manager): 윈도우의 사용자 계정 및 비밀번호 해시 정보를 저장하는 레지스트리 파일. 보안상 민감한 정보를 포함함.

EnCase forensic tool에서 사용되는 증거 파일 형식은?

A: .E01 키워드 설명 – .E01: EnCase의 증거 이미지 파일 확장자. 메타데이터와 함께 압축 및 해시 정보 포함.

encase로 이미징을 하면 e01 확장자로 나온다는거지?

이미징(이미지 추출)하면 .E01 확장자의 파일이 생성됩니다. 요약: 도구: EnCase 파일 형식: .E01 (EnCase Evidence File) 특징: 압축 지원: 저장 공간 절약 가능 무결성 체크: 해시값 포함 (MD5, SHA-1 등) 메타데이터 포함: 수집 시점, 담당자, 설명 등 연속 파일 지원: 대용량 이미지 파일은 .E01, .E02, .E03...처럼 분할 저장 가능 참고: E01 포맷은 법적 증거로 사용할 수 있도록 설계된 구조화된 포맷이며, 법정 제출용으로도 널리 사용됩니다.

윈도우 시스템의 레지스트리에서 사용자 계정 정보를 확인할 수 있는 주요 하이브는?

A: SAM < 니가 샘이야? > 키워드 설명 – SAM (Security Account Manager): 윈도우의 사용자 계정 및 비밀번호 해시 정보를 저장하는 레지스트리 파일. 보안상 민감한 정보를 포함함.

100

네트워크 포렌식에서 패킷을 수집하고 분석하는 도구 중 하나로, CLI 기반의 대표적인 도구는?

A: tcpdump 키워드 설명 – tcpdump: 네트워크 트래픽을 캡처하고 분석할 수 있는 커맨드라인 기반의 리눅스/유닉스용 툴.

< 김호수 = 우선순위 = 김미리 프로젝트 >

김호수 · 46問 · 4ヶ月前

< 김호수 = 우선순위 = 김미리 프로젝트 >

💎조주기능사 마지막복습💎

💎조주기능사 마지막복습💎

💎조주기능사 시험볼 때 물어볼 것💎

💎조주기능사 시험볼 때 물어볼 것💎

🌍네시윰 프로젝트1🌍

🌍네시윰 프로젝트1🌍

6월 29일 < 디지털포렌식 >

6월 29일 < 디지털포렌식 >

디지털포렌식 문제집1

디지털포렌식 문제집1

디지털포렌식 문제집3

디지털포렌식 문제집3

디지털포렌식 문제집4

디지털포렌식 문제집4

디지털포렌식 문제집5

디지털포렌식 문제집5

기억의 궁전

기억의 궁전

< 메이저 아르카나 >

< 메이저 아르카나 >

問題一覧

아티팩트란?

사용자나 시스템의 활동이 남긴 흔적이나 데이터 조각을 의미해요.

NAT

network address translation / 공인IP 사설IP 서로 변환

디지털 증거의 원본성과 동일성을 유지하기 위해 사용하는 해시 함수의 대표적인 예는?

MD5, SHA-1, SHA-256

FAT 파일 시스템에서 파일이 삭제되었을 때, 파일 이름의 첫 글자는 어떤 문자로 대체되는가?

E5h

윈도우에서 최근 실행한 프로그램의 흔적을 확인할 수 있는 레지스트리 경로는?

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

웹 브라우저 방문 기록, 쿠키, 캐시 등의 흔적을 수집하는 주요 목적은?

사용자 활동 내역 확인

리눅스 시스템에서 로그 파일이 저장되는 기본 디렉토리는?

/var/log

네트워크 포렌식에서 패킷을 실시간으로 수집하고 분석하는 대표적인 도구는?

Wireshark

이메일 포렌식에서 헤더 분석을 통해 확인할 수 있는 정보는?

송신 IP, 발신 시간, 경유 서버 정보

디지털 포렌식 분석 과정에서 사용자의 명시적 동의 없이 원격 시스템에 접근하는 것은 어떤 문제를 야기할 수 있는가?

위법 행위 및 증거능력 상실

안티포렌식 기법 중 파일 시스템의 메타데이터를 조작하여 타임라인 분석을 어렵게 하는 기법은?

타임스템핑(Timestomping)

파일 시스템에서 ‘Slack Space’란 무엇인가?

파일이 차지하는 클러스터의 남은 미사용 공간

로그 파일 위조나 삭제 흔적을 포착하기 위해 분석하는 대표적인 로그 파일은?

Windows Event Log (.evtx)

웹브라우저가 자동 저장하는 입력 폼 데이터나 검색어는 어느 파일에 남는가?

WebCacheV01.dat (Edge/IE), Places.sqlite (Firefox)

디지털 증거 보관 시 체인을 유지하기 위해 작성하는 문서는?

Chain of Custody 문서

하드디스크에서 데이터가 실제로 사라지지 않고 잔존하는 현상을 무엇이라 하는가?

데이터 잔류성 (Data Remanence)

시스템 시간 조작 여부를 판단하기 위해 확인할 수 있는 지표는?

타임라인 분석 (로그·파일 생성/수정 시간 비교)

하드디스크의 모든 데이터를 섹터 단위로 그대로 복제하는 과정은?

디스크 이미징 (Disk Imaging)

안드로이드 디바이스에서 데이터를 추출하는 방법 중 루팅 없이 가능한 방식은?

논리적 추출 (Logical Extraction)

USB 저장장치를 분석할 때 흔히 사용하는 윈도우 레지스트리 키는?

SYSTEM\CurrentControlSet\Enum\USB

NTFS 파일 시스템에서 파일의 기본 정보를 저장하는 구조는?

MFT (Master File Table)

디지털 증거에서 해시(Hash)의 주요 목적은?

무결성 검증

웹 브라우저 활동 기록을 분석할 때 주로 확인하는 아티팩트 파일은?

History, Cookies, Cache

윈도우에서 최근 열어본 파일 정보를 기록하는 파일은?

RecentFiles 또는 LNK 파일

로그 분석에서 흔히 사용되는 리눅스 명령어 중 "로그 파일에서 문자열을 검색"하는 명령어는?

grep

포렌식 이미지 파일 포맷 중 EnCase에서 사용하는 확장자는?

.E01

포렌식 분석 시 ‘슬랙 공간(Slack Space)’이란?

파일이 차지하는 마지막 클러스터의 남는 공간

포렌식에서 RAM 덤프를 분석할 때 주로 사용하는 도구는?

Volatility

디지털 증거 수집 절차에서 '획득(Acquisition)' 단계에서 주의할 점은?

증거 훼손 없이 정밀 복제(이미징)를 수행해야 함

FAT 파일 시스템에서 삭제된 파일은 어떤 방식으로 식별되는가?

파일 이름의 첫 문자가 0xE5로 변경됨

디지털 증거에서 'MD5 해시'가 사용되는 이유는?

데이터 무결성 검증 및 위조 방지

USB 장치 연결 기록을 확인할 수 있는 Windows 레지스트리 경로는?

SYSTEM\CurrentControlSet\Enum\USBSTOR

포렌식 이미지 생성 시 'bit-by-bit copy'의 의미는?

저장 매체의 모든 섹터를 빠짐없이 동일하게 복사함

휘발성 데이터 수집 시 가장 먼저 수집해야 하는 항목은?

메모리(RAM) 내용

이메일 포렌식에서 '헤더(header)' 분석을 통해 얻을 수 있는 주요 정보는?

송신자 IP, 메일 경로, 전송 시간 등

FTK에서 'data carving' 기능은 어떤 목적으로 사용하는가?

파일 시스템 정보 없이도 파일 조각에서 특정 파일을 복원하기 위함

Slack space는 어떤 종류의 은닉 기법에 악용될 수 있는가?

파일 내부의 남은 공간에 데이터를 숨기는 스테가노그래피

FTK Imager에서 "Verify Image" 기능의 주요 목적은?

이미지 파일의 무결성을 확인하기 위함이다

윈도우 시스템에서 ‘pagefile.sys’ 파일의 포렌식적 의미는?

메모리에서 디스크로 스왑된 데이터를 담고 있어 사용자의 흔적을 복원하는 데 유용하다.

로그파일 분석에서 ‘lastlog’ 파일은 어떤 정보를 담고 있는가?

사용자별 마지막 로그인 정보를 기록한다.

SSD에서 TRIM 명령이 포렌식 수사에 미치는 영향은?

삭제된 데이터의 복구 가능성을 크게 낮춘다.

이메일 포렌식에서 ‘헤더 분석’의 주요 목적은?

발신자, IP 주소, 메일 서버 경로 등을 추적하기 위해서다.

EnCase에서 사용하는 증거 파일 포맷은 무엇이며, 그 특징은?

E01 포맷이며, 해시값을 포함한 메타데이터를 저장한다.

리눅스 시스템의 로그파일 중 부팅 정보 관련 로그는 어떤 파일에 저장되는가?

/var/log/boot.log

파일 시스템 분석에서 MAC 타임스탬프에서 ‘M’은 무엇을 의미하는가?

Modified - 파일의 내용이 마지막으로 수정된 시간이다.

‘Write Blocker’ 장비의 포렌식적 목적은?

원본 저장 장치에 대한 쓰기를 차단하여 증거를 보호하는 것이다.

메타데이터 기반 파일 검색에서 ‘EXIF’ 정보는 주로 어떤 파일에 적용되며, 어떤 정보를 포함하는가?

JPEG 등 이미지 파일에 적용되며, 촬영 날짜, 위치, 카메라 정보 등을 포함한다.

디지털 증거의 법적 효력을 보장하기 위한 절차적 조건 두 가지는?

적법한 수집과 증거보존(무결성 보장)

FTK에서 'file carving' 기능의 주요 목적은?

파일 시스템 메타데이터가 없어도 파일 내용을 기반으로 복구

NTFS에서 파일 삭제 시 변경되는 MFT의 상태는?

파일 이름 앞에 '삭제 플래그'가 설정되어 삭제로 표시됨

메모리 덤프 분석에서 자주 사용되는 툴 중 하나는?

Volatility

스마트폰 포렌식 시, 루팅이나 탈옥의 목적은?

시스템 영역 접근 권한 확보 (데이터 추출 범위 확대)

로그 분석 시 '타임 스탬프 변조 여부'를 판단하는 대표적인 방법은?

다른 로그 간 타임라인 비교, 타임존 확인

USB 사용 흔적을 윈도우에서 확인할 수 있는 주요 레지스트리 경로는?

SYSTEM\CurrentControlSet\Enum\USB

네트워크 포렌식에서 '패킷 캡처 도구'로 널리 사용되는 도구는?

Wireshark

디지털 서명은 어떤 두 가지 보안 성질을 제공하는가?

무결성 보장, 송신자 인증

윈도우 OS에서 'Prefetch' 파일의 주요 포렌식 정보는?

실행 프로그램의 경로, 실행 횟수, 마지막 실행 시간

로그(log)의 3대 구성 요소는 무엇인가?

발생 시간, 발생 위치, 이벤트 내용

로그란?

시스템에서 발생한 사건을 기록한 정보

슬랙영역이란?

슬랙 영역: 파일보다 클러스터가 더 크면 남는 빈 공간

디지털포렌식 절차에서 '식별' 단계의 주요 목적은?

어떤 데이터가 증거로 사용 가능한지 찾는 단계

이메일 포렌식에서 메일의 진위 여부 확인에 사용되는 정보는?

헤더 정보 (발신자 IP, 경로, 인증 등) 이메일 헤더: 메일 송·수신 과정 기록 발신자 IP, 경유 서버 등 위·변조 여부 확인 가능

FAT 파일 시스템에서 삭제된 파일의 첫 글자는 무엇으로 대체되는가?

FAT: 오래된 파일 시스템 0xE5: 삭제 표시용 헥사 코드. 파일은 지워진 척만 하고 남아 있음

웹 브라우저 포렌식에서 인터넷 사용 흔적을 찾을 수 있는 주요 아티팩트는?

A: 히스토리, 쿠키, 캐시 > 키워드 설명: 히스토리: 방문한 웹사이트 목록 쿠키: 로그인 등 사용자 정보 캐시: 페이지/이미지 등 임시 저장 파일

디지털 증거에서 해시(Hash) 값의 역할은?

A: 무결성 검증과 동일성 확인 > 키워드 설명: 해시 값: 데이터의 '지문' 같은 값 무결성: 변경되었는지 확인 동일성: 두 파일이 같은지 비교

포렌식 복제 시 사용되는 'Write Blocker'의 기능은?

A: 원본 저장장치에 쓰기 방지 > 키워드 설명: Write Blocker: 읽기만 가능하게 해 원본 훼손 방지 복사 중 실수로 기록되는 것을 막음

윈도우에서 사용자 활동 흔적을 확인할 수 있는 대표적인 파일은?

디지털포렌식에서 'Chain of Custody(증거 인수인계서)'의 목적은?

파일 시스템 분석에서 '메타데이터(Metadata)'란 무엇을 의미하는가?

EnCase와 FTK 같은 툴의 주요 공통 기능은?

타임라인 분석에서 사용하는 시간 정보 3가지는?

휘발성 데이터 수집 시 가장 먼저 해야 할 작업은?

윈도우 시스템에서 최근 삭제된 파일을 임시로 보관하는 위치는?

A: 휴지통 (Recycle Bin) > 키워드 설명: 휴지통: 삭제되었지만 실제로는 파일 경로만 바뀌고 내용은 그대로 포렌식 도구로 분석 가능

MAC 주소는 네트워크에서 어떤 기능을 하는가?

A: 네트워크 장치의 고유 식별 > 키워드 설명: MAC 주소: 네트워크 카드마다 있는 고유 주소 식별자로, 특정 컴퓨터가 언제 접속했는지 추적 가능

MAC 주소는 네트워크에서 어떤 기능을 하는가?

A: 네트워크 장치의 고유 식별 > 키워드 설명: MAC 주소: 네트워크 카드마다 있는 고유 주소 식별자로, 특정 컴퓨터가 언제 접속했는지 추적 가능

디스크 이미징 과정에서 사용하는 주요 포맷 2가지는?

A: E01, dd > 키워드 설명: E01: EnCase 이미지 포맷 (압축, 해시 포함) dd: 리눅스 기반 원시(raw) 이미지 포맷 (무가공 복사)

키로거(Keylogger)의 주된 기능은?

A: 사용자의 키보드 입력을 기록 > 키워드 설명: 키로거: 비밀번호, 대화 내용 등을 몰래 기록하는 악성 프로그램 포렌식 분석 시 사용자 활동 확인 수단

ARP 스푸핑(ARP Spoofing) 공격의 목적은?

로그파일에서 '오버라이팅(Overwriting)'이 발생하면 어떤 문제가 생기는가?

디지털 증거 수집 시 가장 먼저 수집해야 하는 데이터는?

디지털포렌식에서 'Write Blocker'의 주된 기능은?

포렌식 과정에서 ‘해시 값’은 어떤 목적으로 사용되는가?

디지털 증거물의 연속적인 관리 절차를 무엇이라고 하는가?

파일 시스템에서 파일이 삭제되어도 데이터를 복구할 수 있는 이유는?

FAT 파일 시스템에서 파일 삭제 시 변경되는 영역은?

네트워크 포렌식에서 ‘패킷 스니핑’의 목적은?

리눅스 파일 시스템에서 파일의 메타데이터를 저장하는 구조는?

A: inode [키워드 설명] inode: 파일의 위치, 크기, 접근 권한, 생성/수정 시간 등 파일 정보를 저장하는 구조체. 실제 데이터는 블록에 저장됨.

EnCase나 FTK와 같은 도구는 어떤 작업을 수행하는가?

윈도우 시스템에서 'Prefetch 파일'은 무엇을 나타내는가?

쿠키

장바구니 등 로그인 정보

캐시

돈 이미지 등 임시저장파일

히스토리

방문기록

디지털 증거에서 'Hash 값'을 활용하는 주요 목적은 무엇인가?

무결성이란?

변경되지 않았음

FAT 파일 시스템에서 삭제된 파일의 첫 번째 문자에는 어떤 값이 들어가는가?

윈도우 시스템의 레지스트리에서 사용자 계정 정보를 확인할 수 있는 주요 하이브는?

A: SAM 키워드 설명 – SAM (Security Account Manager): 윈도우의 사용자 계정 및 비밀번호 해시 정보를 저장하는 레지스트리 파일. 보안상 민감한 정보를 포함함.

EnCase forensic tool에서 사용되는 증거 파일 형식은?

A: .E01 키워드 설명 – .E01: EnCase의 증거 이미지 파일 확장자. 메타데이터와 함께 압축 및 해시 정보 포함.

encase로 이미징을 하면 e01 확장자로 나온다는거지?

윈도우 시스템의 레지스트리에서 사용자 계정 정보를 확인할 수 있는 주요 하이브는?

100

네트워크 포렌식에서 패킷을 수집하고 분석하는 도구 중 하나로, CLI 기반의 대표적인 도구는?

A: tcpdump 키워드 설명 – tcpdump: 네트워크 트래픽을 캡처하고 분석할 수 있는 커맨드라인 기반의 리눅스/유닉스용 툴.