Forensics/FTK ACE 자격증

[FTK ACE] FTK ACE 자격증 - #1 자격증 시험을 보기전 알아야 할 사항

pental 2021. 2. 19. 15:24

FTK ACE 자격증 취득을 할때 준비했던것들을 알려달라는 요청이 많아 이런 글을 작성하게 되었습니다.

만약 이 글이 문제가 된다면, 바로 비공개 처리를 할것이고, 갑자기 글이 사라질수 있음을 알려드립니다.

#1 자격증 시험을 보기전 알아야 할 사항 > blog.system32.kr/245

#2 시험 정보 (ACE v7) > blog.system32.kr/246

#3 기출 문제 (ACE v6, 필기) > blog.system32.kr/247

#4 기출 문제 (ACE v6, 실기) > blog.system32.kr/248

먼저 AccessData사에서 제공한 FTK ACE 자격증 취득을 위한 가이드라인은 다음과 같습니다.

The AccessData Certified Examiner (ACE) credential demonstrates your proficiency with AccessData’s Forensic Toolkit technology. The exam is designed to test the proficiency of the user with the tool, and not necessarily forensic investigation workflows.

ACE(Access Data Certified Examinator) 자격 증명이 액세스 데이터의 포렌식 관련 숙련도를 입증합니다.
툴킷 기술. 이 검사는 반드시 법의학적 조사 워크플로우가 아니라 도구를 사용하여 사용자의 숙련도를 테스트하도록 설계되었습니다.

[ Prerequisites ]
While there are no mandatory training prerequisites to take the ACE, it is recommended that the taker be a user of Forensic Toolkit or have taken relevant training courses. The course which will help the user best prepare for the ACE exam is Forensic Toolkit 101.

[ 전제조건 ]
ACE를 수강하기 위한 필수 교육 필수 조건은 없지만 수강자는 사용자일 것을 권장합니다.
관련 교육 과정을 이수했거나 또는 관련 교육 과정을 이수했습니다. 사용자가 가장 잘 준비하는 데 도움이 되는 과정
ACE 시험의 경우 포렌식 툴킷 101입니다.

Forensic Toolkit is required to take the exam. Lab time may be purchased if the user does not have a copy of FTK, and is subject to availability.

시험을 보려면 법의학 툴킷이 필요합니다. 사용자가 FTK 사본을 가지고 있지 않고 사용 가능 여부에 따라 달라질 경우 랩 시간을 구입할 수 있습니다.

[ Exam Structure ]
The ACE exam is comprised of 25 questions, all requiring the taker to perform actions within a case. The exam will require the user to create a case, load and process evidence. The Image file and any associated support files will be provided by AccessData.
The exam answers are entered into the assessment page within the training.accessdata.com webpage. The exam must be completed within three (3) hours. We suggest creating the case and doing some preliminary processing before starting the exam. Note: due to a limitation we cannot change, the idle timer for the exam is set for 10 minutes. If you are logged out for being idle on a question, the timer does not continue. Simply start back into the exam.

[ 검사 구조 ]
ACE 시험은 25개의 문항으로 구성되어 있으며, 모두 응시자가 사례 내에서 조치를 수행해야 합니다. 검사를 수행하려면 사용자가 케이스를 만들고, 증거를 로드하고, 처리해야 합니다. 이미지 파일 및 관련 지원 파일은 액세스 데이터를 통해 제공됩니다.
시험 답안은 training.accessdata.com 웹 페이지의 평가 페이지에 입력된다. 시험은 3시간 이내에 완료되어야 한다. 우리는 시험을 시작하기 전에 사례를 만들고 예비 처리를 할 것을 제안합니다. 참고: 변경할 수 없는 제한 사항으로 인해 시험의 유휴 타이머가 10분 동안 설정됩니다. 문제에서 유휴 상태로 로그아웃된 경우 타이머가 계속되지 않습니다. 그냥 다시 시험 시작하세요.

[ Study Guide ]
Part of the exam is knowing which processing options to run to parse the files needed to answer the questions.
Because of these the exact processing options are not given. Many times, the question will be written in a way to imply what processing option needs to be used, but ultimately is up to the user to know. It is recommended the larger “basic” processing options be run before actually starting the exam to minimize the impact on time allowed.
The exam includes various types of files, including documents, images, web history, and emails. The exam will cover topics such as filtering, searching, and the use of Known File Filter. Files may be allocated or unallocated.
The ACE is designed to be a test of the user’s ability to work with FTK. The ACE is not a test of your forensic knowledge, nor does it require you to know any forensic attributes of a specific type of artifact. However, the questions within the ACE are typically based on the content of files and as such, any searches, filters, etc may require the user to view/read/examine the results for the answer.

[ 학습 가이드 ]
검사의 일부는 질문에 대답하는 데 필요한 파일을 구문 분석하기 위해 실행할 처리 옵션을 파악하는 것입니다.
이러한 이유로 정확한 처리 옵션이 제공되지 않습니다. 많은 경우, 이 질문은 어떤 처리 옵션을 사용해야 하는지를 암시하는 방식으로 작성되지만, 궁극적으로는 사용자가 알아야 할 몫입니다. 허용된 시간에 미치는 영향을 최소화하기 위해 검사를 실제로 시작하기 전에 더 큰 "기본" 처리 옵션을 실행하는 것이 좋습니다.
검사에는 문서, 이미지, 웹 기록 및 전자 메일을 포함한 다양한 유형의 파일이 포함됩니다. 검사에서는 필터링, 검색 및 알려진 파일 필터 사용과 같은 주제를 다룹니다. 파일이 할당되거나 할당되지 않을 수 있습니다.
ACE는 사용자의 FTK 작업 능력을 테스트하도록 설계되었습니다. ACE는 법의학적 지식을 테스트하는 것이 아니며 특정 유형의 인공물에 대한 법의학적 특성을 알아야 하는 것도 아닙니다. 그러나 ACE 내의 질문은 일반적으로 파일 내용에 기반하므로, 검색, 필터 등은 사용자가 답변을 위해 결과를 보거나 읽거나 검토해야 할 수 있습니다.

Case Processing:
사례 처리:

  1. Understand Index Search options and how to change them.
    인덱스 검색 옵션 및 옵션 변경 방법을 이해합니다.
  2. Understand Expansion options. (Email, Documents, Images, Internet artifacts)
    확장 옵션 이해 (전자메일, 문서, 이미지, 인터넷 아티팩트)
  3. Understand how Data Carving is configured
    데이터 조각 구성 방법 이해
  4. What features can only be processed from within the case, outside of the Additional Analysis wizard.
    추가 분석 마법사 외부에서 케이스 내에서만 처리할 수 있는 기능.

Interface:
인터페이스 :

  1. Understand what data is held in the properties tab, and what is in the file list pane
    속성 탭에 보관되는 데이터와 파일 목록 창에 있는 데이터 이해
  2. Creating custom columns may help in the display of some data
    사용자 지정 열을 만들면 일부 데이터를 표시하는데 도움이 될 수 있습니다.
  3. Understand check marking and the impact that check marks can have.
    체크 표시가 가져올 수 있는 영향을 이해합니다.
  4. Be able to configure the display time zone
    표시 시간대를 구성할 수 있어야 합니다.

Filtering:
필터링 :

  1. Single Rule Filter
    단일 규칙 필터
  2. Multi Rule Filters
    다중 규칙 필터
  3. Nested Filters
    중첩 필터

Searching:
검색 :

  1. Index Searching
    인덱스 검색
  2. Field Searching
    필드 검색
  3. Operator Searching
    연산자 검색

Known File Filter:
알려진 파일 필터

  1. Understand how to create a KFF profile
    KFF 프로파일 작성방법 이해
  2. Know how to run a KFF profile (required processing options, etc)
    KFF 프로파일 실행 방법 파악 (필요한 처리 옵션 등)
  3. Know where to look for the results and how to filter those results
    결과를 어디서 찾아야 하는지 그리고 결과를 필터링하는 방법 파악

여기까지가 제공된 문서에서 알수 있는 정보입니다.

현재는 FTK v7 버전을 사용해서 시험을 진행합니다. 제가 시험을 봤던 작년은 FTK v6 버젼이었으며, v7으로 업데이트가 되면서 KFF 이라는 Known File Filter 기능이 추가되었고, FTK ACE v7 시험을 간단히 쳐봤을때, FTK v7 버전을 사용해 보지 않았다면, 합격하기는 굉장히 어려워졌습니다.

또한 작년에는 기본 개념의 문제가 대부분이었지만, 지금은 오직 실기 이미지 분석 문제 25문제로 변경이 되었습니다.

당연히 합격점은 80% 입니다. 개당 4점씩, 5개 초과로 문제를 틀리게 된다면, 합격하실 수 없습니다.

덧붙여서, 저는 다른 프리웨어 도구들과 상용도구를 사용해서 분석을 진행해 보았지만, 현 시험에서 원하는 KFF를 사용해 본적이 없어, 그 문제들은 풀지 못했습니다.

아무튼, 2020에서 2021으로 넘어오면서 변경된 점은 다음과 같습니다.

1. 개념문제 삭제, 실기 위주의 방식으로 변경

2. FTK v6에서 FTK v7으로 변경

3. FTK v7을 사용해보지 않은 사람이라면 합격하기 어려워 보임

이렇게 세가지로 나눌수 있을것 같습니다.

이제 FTK ACE v7으로 변경되었기 때문에 제가 공부했던 FTK ACE v6에 대해서 포스팅 하려고 합니다.

다음편에서 찾아뵙겠습니다.

추가적인 문의나 오탈자는 아래 댓글 또는 pental@kakao.com 으로 보내주시면 감사하겠습니다!

저작자표시 비영리