1. 라이브 데이터 종류가 아닌 것은?
가) 논리 메모리
나) 활성 데이터
다) 네트워크 패킷
라) 비활성 데이터
라이브 데이터 종류는 4가지가 있다.
물리 메모리 - 현재 시스템을 자세하게 나타낸 데이터
활성 데이터 - 시스템 종료시 사라지는 네트워크, 프로세스, 로그온, 클립보드 데이터
비활성 데이터 - 시스템 종료 후에도 남아있는 데이터
네트워크 패킷 - 가변적으로 변하는 데이터
가) 논리 메모리 라는 건 없다.
2. 비활성 데이터 종류가 아닌 것은?
가) 레지스트리
나) 프리패치
다) 사용자 로그온 정보
라) 이벤트 로그
비활성 데이터는 앞에서 서술했다시피 전원이 꺼진 후에도 남아있는 데이터를 일컫는다.
비활성 데이터의 종류
- 파일 시스템 메타데이터
- 레지스트리
- 프리패치
- 이벤트 로그
- 웹 브라우저 데이터
다) 사용자 로그온 정보는 활성 데이터다.
3. 라이브 데이터 수집 시, 이 중 가장 우선순위가 높은 것은?
가) 프로세스 정보
나) 네트워크 정보
다) 네트워크 패킷
라) 프리패치
라이브 데이터 수집 우선순위는 딱히 정해지지 않았지만
제 1순위는 프리패치다.
프리패치에 대한 자세한 내용은 여기에서 읽어보자.
4. forecopy_handy를 사용해 이벤트 로그 수집 때 사용하는 옵션으로 알맞는 것은?
가) -p
나) -t
다) -e
라) -c
가) -p or -prefetch : 프리패치 파일 수집
나) -t or -etc : System32\Drivers\etc 폴더 수집
다) -e or -evtlog : 이벤트 로그 수집
라) -c : Chrome 아티팩트 수집
이외에
-m or -mft : 파일 시스템 메타데이터 수집
-g or -registry : 레지스트리 하이브 파일 수집
-i : 인터넷 익스플로러 아티팩트 수집
-x : 파이어폭스 아티팩트 수집
5. 저장장치 이미징이 불가능하거나 빠른 분석이 요구될 때, 이 중 가장 적절하지 않은 것은?
가) 웹브라우저 데이터
나) 특정 시간 중심으로 변경된 데이터
다) 특정 키워드
라) 로그 파일
특정 키워드, 특정 시간 대역, 사용자 행위 데이터는 압수수색 시 수집 범위가 제한될 경우 먼저 수집한다.
그러므로 답은 다) 특정 키워드
6. 오프라인 수집 시, 데이터 복사의 단점으로 가장 적절하지 않은 것은?
가) 데이터를 신속하게 수집하기 때문에 무결성을 잃음
나) 삭제된 파일 복구 불가
다) 원본 파일의 메타 정보는 별도로 저장해야함
라) 파일, 디렉터리 단위만 분석에 사용 가능
가) 데이터를 신속하게 수집하기 때문에 무결성을 잃음
잃지 않는다! 애초에 필요한 데이터를 신속하게 수집하는 것은 데이터 복사의 장점이다.
7. 무결성 유지가 필요 없는 경우를 모두 고르시오.
가) 단순 복제 도구 사용
나) 쓰기방지장치 사용 후 소프트웨어 이미징
다) 쓰기방지장치 없이 소프트웨어 이미징
라) 쓰기방지기능이 내장된 전문 포렌식 장비를 이용해 이미징
답은 가) 와 다) 이다.
무결성 유지가 필요 없다는 말은 복제한 데이터가 조금 사라지거나 깨져도 지장이 없단 말이니까
단순 복제 도구나 쓰기방지장치 없이 사용하여도 무방하다.
그 반대로 무결성 유지가 필요한 경우 변조를 방지하기 위해 쓰기방지기능이 필요하다.
8. 온라인 수집 방법으로 가장 적절하지 않은 것은?
가) 데이터 복사
나) 저장장치 이미징
다) 라이브 데이터 수집
라) 저장장치 복체
답은 라) 저장장치 복제
온라인 수집 방법
- 데이터 복사
- 저장장치 이미징
- 라이브 데이터 수집
오프라인 수집 방법
- 데이터 복사
- 저장장치 이미징
- 저장장치 복제
9. 라이브 데이터 수집 시 고려사항이 아닌 것은?
가) 흔적 최소화
나) 수집 시간을 고려한 선별
다) GUI 명령
라) 휘발성 민감도
답은 다) GUI 명령
라이브 데이터 수집 시 고려사항들
- 흔적 최소화(스크립트 로깅, CLI 명령어 작성)
- 직접 준비한 도구 사용으로 수집 도구 신뢰성
- 수집된 데이터의 신뢰성 확보
- 수집 시간을 고려하여 선별
- 휘발성 민감도를 고려한 수집 (3번문제가 이에 해당됨)