국세청은 모 기업에서 직영점들에게 POS 데이터를 조작하라는 지시를 내려 비자금을 조성한다는 첩보를 입수, 모 기업의 직영점 A와 B를 압수 수색한다.

직영점 A에서는 별다른 조작 흔적을 발견하지 못하였지만, 직영점 B에서 압수수색을 진행하는 과정에서 소파밑에서  USB 하나를 발견한다. 하지만 분석 컴퓨터는 해당 USB를 인식하지 못하였다.

당신은 국세청 소속의 포렌식 전문가로 해당 USB를 복구하여 모 기업에서 직영점들에게 지시한 내용 증거와 POS 데이터를 조작한 증거를 찾아라.


 * 보고서의 수신처는 시험관리본부장으로 하라.


1. 디지털 포렌식 전문가가 현장에 도착하면 해야 할 일은?


2. 간혹 법정에서 상대 측 변호인이 증거의 무결성 훼손을 주장 할 때가 있다. 다음 두 경우에 관련하여 증거의 무결성을 입증 할 방법을 자세히 서술하여라.

 - 증거 수집 시

 - 증거 이동 시


3. USB를 복구 하고, 복구 방법을 자세히 서술하고 복구 된 상태를 캡쳐하여 보고서에 첨부하여라.


4. 모 기업에서 직영점들에게 POS 데이터를 조작하라는 지시를 내렸다는 증거를 찾아라.


5. POS 데이터 조작과 관련된 데이터를 모두 제시하여라.(제출)



[문제 파일 링크]

Forensic Test : http://naver.me/G0UEsWfi - ForensicsText.vol1.egg

http://naver.me/xd5ExzaZ - ForensicsText.vol2.egg

문제 파일이 분할 압축되어 있습니다. 두 파일 모두 받으셔서 압축을 해제 하셔서 문제를 푸시면 됩니다.

문제 다운로드 링크가 유효하지 않다면 개인적으로 메일을 보내주시기 바랍니다.


[간단한 시험 후기]

 실기시험 모집 몇일 전까지만 해도 시험장이 모자란다는 소리가 나오지 않았었는데 모집 일정 막바지에 접어드니 수험신청자들이 몰려 시험장이 두 군데로 늘어났었습니다. 저도 그래서 시험장이 바뀌었구요.. ㅠㅠ

그래서 제가 알기로는 수험자들이 100명이 넘었습니다. 시험날, 시험장에 도착해서 시험을 30분정도 봤을 때부터 제가 속해 있던 시험장에 대부분 분들은 한숨을 쉬셨습니다. 1,2번은 사실 답이 거의 정해져있는거라 외워서 가면 되지만 분석하는 건 그렇지 않기 때문이죠. 대부분 파티션 복구 부분에서 해매시는 것 같았습니다. 그런데 이번 문제는 파티션 복구를 하지 못하면 4,5번 문제를 절대로 풀 수 없는 문제이기 때문에 다른 분들이 유독 힘들어 하셨던 것 같았습니다. 또 많이 접해보지 않은 POS 데이터 조작에 관한 문제여서 POS 데이터 조작 증거를 찾는 부분에 있어서도 많은 분들이 어려워 했던 것 같았습니다.(시험 끝나고 엘리베이터를 타는데 이런 이야기를 들었어요 ^^;)

 사실 POS 데이터 조작, 이런 것들 몰라도 충분히 지문과 타임라인 분석만으로도 해당 문제는 풀 수 있었던 문제여서 포렌식을 제대로 공부만 했다면 어렵지 않았을 문제라 생각이 듭니다.



p.s - 업로드 한 파일은 임의로 제작한 문제 파일입니다. 문제 푸는데 필요한 증거파일은 임의로 만들어 넣어두었으니 문제 푸는데 지장없으실 것 같습니다. 실제 문제는 실제 업무에서 사용하는 USB처럼 꾸며졌으며, 국세청에서 직접 만든 문제라고 들었습니다. 그러니 증거파일을 찾는 것이 지금 업로드 한 파일보다는 조금 더 어려울 수 있습니다. 이 점 참고하시고 공부하시기 바랍니다. ^^

혹시, 자신이 작성한 보고서나 풀이방법이 맞는지 궁금하시다면 메일로 보고서 파일과 답안 파일을 보내주세요. 어느정도는 평가해 드릴 수 있습니다. 

저작자 표시 비영리 변경 금지
신고
  1. 이전 댓글 더보기
  2. 2014.08.08 22:38

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2014.08.11 10:17 신고

      다운로드 링크를 재 링크 하였으니 다시 한번 확인해 보시기 바랍니다 ^^

  3. 2014.10.22 15:11

    비밀댓글입니다

  4. 2014.11.27 09:13

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2014.12.11 11:09 신고

      pos 데이터는 제가 실제와 비슷하게 구현하기가 까다로워 아무런 값만 넣어두었습니다. 하지만 pos 데이터가 중요한 것이 아니라 pos 데이터가 담긴 파일이 수정되었다는 논리적 증명이 이루어져야 합니다.
      base64는 조금 잘못 접근하신 것 같네요... 내용은 인코딩, 디코딩을 떠나 정상적으로 보입니다. ^^

  5. 2014.11.28 00:58

    비밀댓글입니다

  6. 2014.12.04 13:24

    비밀댓글입니다

  7. Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2014.12.11 11:09 신고

    문제 다운로드 링크 복구해 두었습니다.

  8. 2015.01.18 19:10

    비밀댓글입니다

  9. 2015.02.25 12:32

    비밀댓글입니다

  10. 2015.03.12 01:09

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2015.03.15 19:23 신고

      저는 시험 보기 전에 이미 운영체제, 컴퓨터구조 등의 공부를 해둬서 시험 볼때에는 e-포렌식 책만 보았습니다.

  11. 2015.05.18 16:39

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2015.05.18 17:31 신고

      정답은 따로 작성해 둔 것이 없어 보내드릴 내용이 없네요 ㅠㅠ..

  12. 2015.05.26 11:41

    비밀댓글입니다

  13. 2015.05.28 01:36

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2015.06.04 12:57 신고

      saiwnsgud@gmail.com 메일로 연락주시면 됩니다 :-)

      다시 한번 내용을 정리하여 메일로 연락주세요~!

  14. 2015.06.12 16:41

    비밀댓글입니다

  15. 2015.10.11 03:33

    비밀댓글입니다

  16. BlogIcon HackedSniper 2016.03.02 22:29 신고

    저 다름이 아니라 위의 압축파일에 접근하려 하였으나 링크가 만료되었다고 합니다.
    혹시 pgh9812@gmail.com이나 pgh1032@naver.com으로 보내주시면 감사하겠습니다.

    ___________________________________________________________________________
    HackedSniper(KITRI BOB 4th Digital Forensic Track Trainee)
    pgh9812@gmail.com

  17. 2016.05.27 17:59

    비밀댓글입니다

  18. 감사합니다! 2016.11.17 14:19

    관리자의 승인을 기다리고 있는 댓글입니다

  19. 2016.12.07 22:05

    비밀댓글입니다

  20. 2016.12.07 22:06

    비밀댓글입니다

  21. 이동훈 2017.05.28 17:53 신고

    파일 링크가 만료되었다고 합니다.. 시험준비 간 큰 도움이 될 것 같습니다.
    꼭 보내주시면 감사하겠습니다.
    win1133@naver.com 입니다.



국가공인이 되어 이번년도에 첫 번째로 시행을 하길래 시험을 한번 봐 보았습니다.


기회가 된다면 공부 방법등과 실기 문제를 복원해서 올려보도록 하겠습니다.


p.s - 개인적으로 연락 주시면 알려드려요 ^^

저작자 표시 비영리 변경 금지
신고
  1. 2013.07.15 12:46

    비밀댓글입니다

  2. 최끼꾼 2013.07.15 15:35

    관리자의 승인을 기다리고 있는 댓글입니다

  3. 2013.07.16 00:09

    비밀댓글입니다

  4. 2013.07.17 10:57

    비밀댓글입니다

  5. Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2013.07.17 18:44 신고

    댓글 달아주신 분들은 아래 글을 참고해주세요.

    http://maj3sty.tistory.com/1071

  6. 정지수 2013.12.17 00:10 신고

    제가 디지털 포렌식 자격증을 따고 싶은데요.. 디지털 포렌식 공부방법이랑 공부해야되는 순서를 알고 싶어서 댓글을 남깁니다. 꼭 알려주셨으면 좋겟습니다~

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2013.12.17 08:26 신고

      일단 컴퓨터구조, 운영체제론 부터 공부하시고 네트워크, 데이터베이스 순으로 공부하시면 됩니다 ㅎ 이것만 해도 6개월은 족히 걸리니...

  7. 2013.12.19 14:59

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2013.12.21 16:05 신고

      궁금한 점이 어떤 것인지 메일로 연락 주시면 알려드리겠습니다 :)

  8. 2013.12.22 14:03

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2013.12.23 09:00 신고

      이메일로 궁금한 사항 연락 주시면 바로 답변 해 드리겠습니다 :)

  9. BlogIcon 민정욱 2015.07.26 08:35 신고

    자료 도와주세요


기존에 실기만 보려고 했던 것을 필기가 1회 추가되었습니다.

시험 준비하시던 분들에게는 희소식이 되겠네요 ^^

모두 합격하시기 바랍니다.

P.s - 시험 관련 문의사항은 언제든지 환영입니다 ~ 


저작자 표시 비영리 변경 금지
신고
  1. 칠까말까 2012.01.17 00:48 신고

    이번 시험 응시로 고민중입니다.

    2013년에 국가 기술 자격증으로 바뀌면서
    다시 취득 해야 할 수도 있다는데 지금 보는게 잘하는걸까요?

    다시 봐도 상관 없긴 하지만 응시비용이 만만치 않은것 같아서요 ^^;;

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2012.01.17 09:01 신고

      음 지금 질문자님 고민들을 대부분 다른분들도 가지고 계시는데요.

      제 개인적인 생각으로는 지금 시험을 보시는게 좋을 듯 싶습니다.

      승격되고 나면 문제 유형부터가 바뀌기 때문에 1~2년 정도는 문제 유형 파악으로 인해 합격률이 지금보다도 더 저조할듯 싶습니다.

      그리고 현재 자격증 소지자 승격문제는 그냥 그대로 승격해주려고 협의중이라서 아직 섣불리 판단하기는 이르구요.

      비용이 솔직히 만만치 않긴 한데.. 나의 미래를 위해서 그정도에 투자라면 한번쯤 투자해볼만한 가치라고 생각이 드네요 ^^

  2. 연우꺼 2012.01.25 17:29 신고

    안녕하세요, SIS 자격증에 대해 둘러보다가 여기까지 오게 됐네요^^

    저도 시험을 봐야할지 말아야할지 고민하고 고민하다가 결국 보기로 마음먹고 공부중입니다
    사실 정보보호에 대해 공부를 시작한지 얼마 되지 않아.........앞이 캄캄하네요
    작년 12월에 치른 CISSP 시험에는 정말.......열심히 공부해서 겨우 합격했는데...
    SIS는 CISSP랑은 문제 유형이나 범위같은게 조금 다른것 같네요,
    지금 2011년판 정보보호전문가(SIS) 필기,실기 교재로 공부하고있는데요.........
    3월 한번밖에 필기시험기회가 없어 많이 조마조마하네요.
    1급응시할 예정이구요, 참고해야할 도서나 공부방향 정도 조언부탁드려요!

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2012.01.25 20:51 신고

      음.. 저는 가이드라인하고 기출문제만 풀어서 딱히 추천해드릴만한 도서를 알고 있지는 않네요 ^^;

      CISSP 합격하신 정도면 SIS는 무난하게 합격하실거에요 ㅎㅎ

      SIS는 문제 범위가 넓고 공부해야 할게 많은 것 뿐이지, 그렇게 깊숙하게까지 공부하진 않아서 질문자님 실력 정도면 대부분 아는 내용이실거에요 ㅎ

      정보보호훈련장이라고 있는데 거기에 보면 이론/실무 능력을 키워주는 문제들이 엄청 많아요. 그 문제들을 시험 보기 일주일 전이나 며칠전부터 풀어보시기 바래요 ㅎ

      그 문제들중에서 동일한 문제들이 몇개 나오거든요 ^^

    • 연우꺼 2012.01.26 10:53 신고

      조언 감사드립니다:)

      프로필보니까 저랑 비슷한 나이시네요^^
      저는 대학원에서 정보보호 전공하고있는데,,,,,,,,,,,,,
      이제 막 시작이라 아직은 이래저래 어려움이 많네요
      블로그 자주 들러서 좋은정보 많이 배워갈게요!

      꼭 열심히해서 1급 필기합격하겠습니다ㅎ_ㅎ!

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2012.01.26 11:08 신고

      헉... 저랑 비슷한 나이신데 대학원이시라니... 부럽습니다 ㅠㅠ


으아 드디어 발표가 났네요 ㅠㅠ

저번에 필기 붙고 이번에는 준비기간이 짧아서 학교 다니면서 보려고 했는데 이번에 보길 잘했네요..

문제도 대부분 쉽게 나온 듯 하구요 ㅎㅎ

점수도 그럭저럭 만족스럽네요 ㅎㅎ

이제 취득해야 할 자격증이.... 아직 없네요 ^^;;

정보처리나 다른 자격증들은 자격조건이 아직 안되서..

그동안 포렌식 공부나 열심히 해야겠습니다 ㅎㅎ 
저작자 표시 비영리 변경 금지
신고

'[+] Information > [-] Certificate' 카테고리의 다른 글

[디지털 포렌식 전문가 2급] 최종 합격!  (12) 2013.07.12
[SIS] 2012년 SIS 시험 일정  (6) 2012.01.12
[SIS] SIS 1급 최종 합격~  (0) 2011.12.21
[SIS] SIS 1급 실기 후기  (0) 2011.12.19
[CHFI] CHFI 응시조건  (0) 2011.12.16
SIS 카페에 올렸던 글인데 제글을 제가 퍼왔습니다~!!

아래는 원문입니다. ㅎㅎ

안녕하세요 ㅎ

 

모두 추운데 시험 보느냐고 고생하셨네요 ㅎㅎ

 

저는 강원도 촌동네에 살아서 시험장에 조금 일찍 도착을 했습니다...(7시 전 ㅠㅠ )

 

그래서 경비아저씨하고 같이 문을 열었네요 ㅋㅋ

 

SIS 1급 시험장 1반에서 가운데 두번째에 앉아서 시험을 봤습니다. 혹시 보신분이 있으실지 모르겠네요 ㅎ

 

이번시험에서 느낀건 가이드라인에 충실해야 한다는 것 입니다 ㅠㅠ

 

가이드라인에서 대부분 나오네요 특히 단답형은

 

더군다나 저는 단답형이 40점 만점 인줄 알았는데 50점이더라구요. 단답형도 무시할게 못되는 것 같습니다.

 

또 이번에는 법규문제는 하나도 안나오더군요... 이번에 공부할 때 법규(개인정보보호법 포함), ACL, iptables, tcpdump 사용법 위주로 공부를 했는데... 허를 찔렸습니다 ㅠㅠ

 

무튼 아래는 제가 시험볼때 작성했던 답안입니다..

 

[단답형]

1. 암호문 공격

가. 선택암호문 공격(암호문을 선택하여 라는 문장이 나왔다는..)
나. 기지 평문 공격(평문과 암호문이 대응하여 차를 어쩌고 ~ 가이드라인에 그대로 나온 설명을 쓴듯!)

 

2. 가상호스트에 대한 내용

가. DNS(zone 파일을 수정한다길래)
나. NameVirtualHost(호스트이름 기반으로 설정할때는 NameVirtualHost를 지정해주니까요 ^^;)

 

3. 암호구조

가. Feistel
나. STN(아 SPN인데 STN으로 썼네요 ㅠㅠ)

 

4. DB 보안 접근통제 방식(가이드 라인 설명 그대로 문제 출제 됬네요 ㅎㅎ)

가. 접근통제
나. 추론통제
다. 흐름통제

 

5. NAT 설명

가. 라우터(전 라우터라고 썼는데 가이드라인 보니 board router라고 되어있다는... 제발 부분 점수 ㅠㅠ)

 

6. BOF설명

가. buffer overflow

 

7. VLAN에 관한 것

가. ip, protocol, port, mac주소(port에서 설마 물리적port라고 안써서 틀리진 않겠죠 ㅠㅠ?)

 

8. 어플리케이션 고르기

가. visual route(검색해보면 나와요 ㅎ)
나. 방화벽(개인()라길래 방화벽으로 찍었는데 맞았네요)
다. 메일(이건 뭐..)
라. BlackICE(이건 다 고르고 나니 남아서.. ㅋㅋ)

 

9. tcp wrapper에 관한 것

가. TCP wrapper

 

10. 윈도우 네트워크 환경(가이드라인에 설명 그대로.... 왜 이걸 이렇게 나눠놨는지 모르겠네요.. 낚을려고 하는건가)

가. work group
나. domain
다. work group
라. domain


[서술형]

1. XML 관련 단어 서술

전 XACML빼고는 가이드라인과 똑같이 썼네요... XACML도 쓰긴 했는데 너무 짧게 써서 부분 점수만 받을 듯 해요.

 

2. 윈도우 로컬그룹 문제

가. Administrator, power users(처음에 뒤에 s 안붙였다가 그룹이라 붙였는데 가이드라인 보니 둘다 붙여져 있네요!)
나. 대충 계정 수정, 삭제 등의 권한이 admin은 무적이고 power는 admin보다 약하다 뭐 이런식으로 풀어썼어요..

 

3. DRDOS

3rd party 와 관계지어서 설명하라고 해서 스푸핑과 연관지어서 했습니다. 소스 아이피를 위조해서 보내면 공격자가 응답패킷을 받지 않고 공격대상자가 받는다.. 이런식으로요 ㅎㅎ TCP 취약성과 BGP 취약성도 썼구요 ㅎ


[실무형]

전 1,2번을 풀었습니다.

 

1. 로그 분석

가. 공격 유형 적기 : 어떠한 인자값 뒤에 스크립트 함수가 들어가있는데 처음에는 XSS인줄 알았으나 함수가 BHO를 이용해 악의적인 행동을 하는 것 같아 전 CSRF로 썼습니다..
나. 취약점 판단 방법 서술 : 이건 XSS나 CSRF나 똑같기 때문에 ^^

 

2. 엘리스가 만든 game.exe 파일과 해쉬결과값에 대한 문제점 서술

이건 다들 서술하셨듯이 저도 해쉬값이 들어있는 파일관리에 대해 잘못된 점을 썼습니다. 
아무래도 문제마지막에 적극적인 공격자 라고 강조하는 거 보면 변조에 대해서 서술하라는 것 같습니다.

 

3. tcpdump 로그랑 nmap 로그 분석

이건 안풀어서... 모르기도 하구요 ㅎ

 

 

 

아 제발 붙었으면 좋겠습니다... ㅠㅠ



저작자 표시 비영리 변경 금지
신고

'[+] Information > [-] Certificate' 카테고리의 다른 글

[SIS] 2012년 SIS 시험 일정  (6) 2012.01.12
[SIS] SIS 1급 최종 합격~  (0) 2011.12.21
[SIS] SIS 1급 실기 후기  (0) 2011.12.19
[CHFI] CHFI 응시조건  (0) 2011.12.16
[CHFI] CHFI 소개  (3) 2011.12.16

+ Recent posts