제이제이 IT 스토리

1. 다운로드 경로

Autopsy는 https://www.sleuthkit.org/autopsy/ 사이트에서 받을 수 있으며

들어가면 다음과 같은 화면이 보인다.

Download Now를 누르면 다운받을 수 있는 링크로 들어가진다

2. 다운받기

들어가면 현재 2018.04.20 일 기준으로 최신버전은 4.6.0 버전인 것을 볼 수 있다.

최신버전을 다운받으려면 자신의 PC 운영체제 아키텍처 버전에 맞게 다운받으면 되며

이전 버전을 받고 싶을때는 아래의 이미지를 보고 들어가면 된다.

먼저 설치를 위해 최신버전을 받아보도록 하겠다.

파일의 크기는 492MB 이며 네트워크 환경과 국외 서버에서 받아와서 그런지 350~400kb/초

정도의 속도가 나온다. 다 받아질때까지 천천히 기다려 준다.

3. 설치하기

파일이 다 받아지면 설치화면이 등장한다.

Next를 눌러주면 설치할 경로를 확인하는 창이 나온다.

본인이 다른 경로에 설치를 하고자 하면 설치하고자 하는 경로를 입력하고

기본으로 설치를 하려면 Next를 누르면 된다.

경로 설정으로 하고나서 Install을 누르면 설치가 된다.

Autopsy는 별도의 추가 설치나 옵션들 필요없이 일반적인 프로그램 인스톨 하듯이

간단하게 설치가 가능하다.

설치가 완료되면 이렇게 도베르만(?!) 처럼 생긴 아이콘이 생성되면서 Autopsy 설치가

완료 된다.

2018년 시험일정

1. 기사는 오전, 산업기사는 오후에 실시*비고

• 2. 고사장 입실 완료시간 : 시험시작 30분전

• 1. 원서접수시간 : 원서접수 첫날 09:00부터 마지막 날 18:00까지
• 2. 필기시험 합격(예정)자 발표시간은 해당 발표일 10:00부터 5일간
• 3. 최종합격자 발표시간은 해당 발표일 10:00임
• 4. 천재지변, 응시인원 증가 등 부득이한 경우에는 시행일정을 검정시행 기관장이 조정할 수 있음.

* 해당내용는 정보보안국가기술검정센터 https://kisq.or.kr 에서 발췌하였습니다.

 사단법인 한국포렌식학회 「디지털포렌식 전문가 자격검정 관리 운영 규정」에 따라 

2018년도 등록민간자격 디지털포렌식 전문가 1급, 공인등록자격 디지털포렌식 전문가 2급

(법무부 제2012-1호) 자격검정 시행계획을 다음과 같이 공고합니다.

2018. 1. 19.

사단법인 한국포렌식학회장

시험일정

시험 시행지역

❍ 서울, 군산

※ 자세한 고사장 위치는 개별 또는 홈페이지 공지사항으로 응시일 이전에 안내

※ 시험 시행지역 확대 시 접수 기간 이전에 안내 예정

시험 시행기관: 사단법인 한국포렌식학회 디지털포렌식 검정시험관리본부

❍ 주소: [03063] 서울특별시 종로구 성균관로 25-2, 성균관대학교 인문사회과학캠퍼스 법학관 304호

❍ 문의: (전화) 02-740-1809, (이메일) dforensic432@gmail.com, 

(홈페이지) http://forensickorea.org/

자격검정 시간

❍ 1급 필기: 14:00~17:00(180분)

❍ 1급 실기: 13:00~17:00(240분)

❍ 2급 필기: 14:00~16:00(120분)

❍ 2급 실기: 13:00~17:00(240분)

※ 입실 마감시간은 시험 시작 20분 전까지, 입실 마감시간을 초과한 입실 불가

※ 별도의 휴식시간 없이 진행

※ 자격검정 시간은 변동될 수 있으며 사전에 안내

응시료

등급 및 구분 응시료 총 검정료*

1급 필기 100,000원

1급 실기 250,000원

* 357,000원

2급 필기 60,000원

2급 실기 150,000원

* 217,000원

내용의 일부만 기재하였으며 자세한 검정 사항은 파일을 참조.

(올해는 2급 실기 검정료가 올랐네요....)

Autopsy는 사전적인 의미로는 (사체) 부검, 검시라는 뜻을 가지고 있다.

Autopsy는 Linux 시스템에서 사용할 수 있는 오픈소스 기반 포렌식 프로그램으로 잘 알려진 sleuth Kit를 Windows 시스템에서 GUI 형태로 이용할 수 있도록 개발된 오픈소스 기반 무료 포렌식 프로그램이다.

Autopsy는 2000년경에 발표된 TCT(The Coroner’s Toolkit)을 기반으로 계속 개발이 이루어져 최근 Autopsy 4.x 단위의 버전에서는 포렌식 조사자가 동일한 사건을 동시에 공동 작업하고 Python 스크립트를 작성하여 기능을 확장할 수 있는 기능까지 제공하고 있다.

Windows와 Linux/UNIX를 비롯한 OS X, Android 등 다양한 운영체제의 파일시스템 내용을 분석할 수 있으며, 검색 및 타임라인 분석, 해쉬 필터링 등의 기능을 제공한다.

그리고 기능 확장을 위한 Add-On 모듈 지원을 통해 Project VIC 및 C4P와 같은 데이터베이스를 통합하여

분석을 하거나 비디오 분석모듈 등의 기능을 추가할 수 있다.

그리고 (사)한국포렌식학회에서 주관하는 디지털포렌식전문가 2급 실기시험에서

EnCase와 더불어 사용되는 Tool로 기억된다.

나는 FTK Tool을 공부하고 시험장에 갔었는데 제공되는

Tool에서는 FTK는 제공되지 않아 당황했었던 적이 있다.

EnCase의 경우 상용 소프트웨어에 다뤄볼 기회도 없었으며

Autopsy또한 Tool을 다룰줄 모르는 상태로 시험을 진행하게 되었는데

이때 EnCase, Autopsy 두가지 Tool을 사용해본 결과

나는 Autopsy가 조금 더 인터페이스 측면에서 보기가 편했으며

다양한 기능들이 제공되었던 것으로 기억된다.

[Autopsy 실행화면]

이제 Autopsy 툴을 다운로드 및 설치 그리고 개인적으로 Tool을 공부해보고자 한다.

윈도우에서 임의적으로 쓰기 방지 설정을 해야하거나 기타 설정을 변경하려고 할 때

레지스트리를 손봐야 할 상황이 온다.

그러나 이 레지스트리를 잘못 손대면 윈도우 부팅이 안되거나

제대로 프로그램의 실행이 되지 않는 크리티컬한 상황이 오게 되는데

이 상황을 대비해 미리 레지스트리를 수정하기 전 백업을 해놓는 것이 좋다.

(경험상 리눅스도 마찬가지고 설정을 변경을 요할때는 설정파일을 백업해놓고 진행하는 것이 좋다)

- 레지스트리를 백업 및 복원 하는 방법

[백업]

Windows 10 기준 (진입 방법은 대게 비슷함)

검색 → 실행 → regedit 입력 후 확인

파일 → 내보내기

파일 이름에 자신이 저장하고 싶은 파일명을 적어주고

파일 형식은 등록 파일(*.reg)로 지정.

내보내기 범위는 레지스트리 전체를 보낼 수 있는 모두(A)

특정 레지스트리만 보낼 수 있는 선택한 분기(E)가 존재하며 필요에 따라 선택하고

저장을 하면 된다.

이렇게 하면 레지스트리가 백업이 되고 지정한 경로에 저장이 된다.

[복원]

파일 → 가져오기 선택

레지스트리 파일 가져오기 창이 나오면 저장해뒀던 백업파일을 선택하고 열기

이렇게 하면 수정하기 전 레지스트리 상태로 복원이 가능하다.

[ ]를 사용하는 리스트는 임의의 객체를 저장하는 집합적 자료형이다.

각 자료는 순서를 가지고 있고, 순서에 따라 접근 가능하다.

len 함수를 이용한 문자열의 길이 출력

L이란 리스트에 있는 자료를 순서에 따라 접근

그림으로 표현을 해본다면 다음과 같다.

슬라이싱 또한 가능하다.

리스트의 연산도 가능하다.

[L + L 연산]

[L * 3 연산]

L이라는 리스트 안에 range 함수로 채우고자 하는 값의 범위를 넣어주면 채워진다.

확장 슬라이스도 가능하다 (파이썬 2.3 이상에서 가능)

멤버십 테스트

* 4라는 값이 L안에 존재하는가? 참(True)

리스트는 다양한 메쏘드를 가지고 있다.

리스트 마지막에 자료 추가

리스트 자료의 삭제

리스트 순서를 바꾼다. 리스트는 메쏘드(객체 함수)를 가진다.

리스트를 오름차순으로 정렬한다.

1) 문자열

문자열은 문자들(텍스트)을 표현하기 위한 자료형이다.

문자열들은 단일 인용부호(‘ ‘) 혹은 이중 인용부호(“ ”) 안에 묶여진 문자들의 모임이다.

이러한 문자열들은 인덱싱(Indexing)으로 각각의 문자를 취할 수 있다.

또한 슬라이싱(Slicing)으로 부분 문자열을 취할 수도 있다.

슬라이싱의 시작 위치가 생략되면 ‘처음부터’, 마지막 위치가 생략되면 ‘끝까지’의 의미이다.

슬라이싱은 세 가지 값을 가질 수 있다.

(start : stop : step) 파이썬 2.3부터는 내장 시퀀스 자료형에 몇 단계를 건너뛸까를 정하는 step이 지원된다. 이것을 확장 슬라이스(Extended Slice)라고 한다.

시퀀스 자료형인 문자열, 리스트, 튜플에 모두 적용된다.

생략되었을 경우에 start는 0, stop은 자료형의 크기, step은 1의 값을 가진다.

연결(+)과 반복(*)의 연산도 적용 가능하다.

문자열은 값이 변경되지 않는다.

만일 문자열 변경을 원하면 슬라이싱과 연결하기를 이용한다.

문자열 길이는 len  내장 함수를 이용한다.

멤버십 테스트를 이용하여 부분 문자열의 존재를 확인할 수 있다.

자료형이란, 컴퓨터로 표현할 수 있는 자료의 종류를 의미한다.

예를 들어, 숫자를 저장하는 형태와 문자열을 저장하는 형태가 다른 것과 같이,

파이썬에서는 여러가지의 정보를 저장할 수 있는 자료형을 미리 정해 놓고 있는데,

이를 내장 자료형(Built-in Types)이라고 한다.

파이썬은 다른 언어에서 제공하지 못하는 고수준의 편리한 자료형이 준비되어 있다.

파이썬의 자료형은 강력하여 다른 언어에서는 해야 할 많은 번거로운 작업을 줄여 준다.

대부분의 경우 별다른 자료 구조의 설계 없이, 파이썬에서 제공되는 자료형만 가지고 충분히 할 수 있다.

[주요 내장 자료형]