Forensics/FTK ACE 자격증

[FTK ACE] FTK ACE 자격증 - #3 기출 문제 (ACE v6, 필기)

pental 2021. 2. 21. 01:45

만약 이 글이 문제가 된다면, 바로 비공개 처리를 할것이고, 갑자기 글이 사라질수 있음을 알려드립니다.

#1 자격증 시험을 보기전 알아야 할 사항 > blog.system32.kr/245

#2 시험 정보 (ACE v7) > blog.system32.kr/246

#3 기출 문제 (ACE v6, 필기) > blog.system32.kr/247

#4 기출 문제 (ACE v6, 실기) > blog.system32.kr/248

먼저 ACE 기출문제를 올리는 이유는 현 글을 작성하고 있는 2021-02-21 기준으로 AccessData사의 FTK ACE 는 v7버전으로 변경되었음을 확인하였습니다.

그래서 Ace v6 버전의 자격증 시험에 사용되었던 문제는 v7 버전에서 사용되지 않는다는것을 확인 하였고, 여러 사람들이 FTK Ace 의 시험은 어떻게 진행되는 알고 싶다는 문의가 많았으며, 저도 이 지식을 공유하고 싶다는 취지에서 작성하게 되었습니다.

만약 이 글이 문제가 된다면 (저작권 및 시험 정보 유출 등으로), 바로 비공개 처리를 할 것이고, 갑자기 글이 사라질수 있음을 알려드립니다.

[ Question 1 ]

Which of the following is NOT listed as a Pre-Processing Option in FTK?
> 다음 중 FTK에서 사전 처리 옵션으로 나열되지 않은 것은 무엇입니까?

  1. TR1 Expression
    TR1 표현 (식)
  2. Explicit Image Detection (EID)
    명시적 이미지 탐지
  3. Language Identification
    언어 식별
  4. Perform Automatic Decryption
    자동 암호 해독 시행

[ Question 2 ]

Which of the following is NOT an option available in the FTK report? 
> 다음 중 FTK 보고서에서 사용할 수 없는 옵션은 무엇입니까?

  1. A Videos
    한 비디오
  2. Language Identification Summary
    언어 식별 요약
  3. Create a PDF version of the report
    보고서의 PDF 버전 생성
  4. Registry Selections
    레지스트리 선택

[ Question 3 ]

An FTK user assigned Case Reviewer status has what restriction?
> FTK 사용자가 할당된 사례 검토자 상태에는 어떤 제한이 있습니까?

  1. Cannot view files flagged as privileged
    권한으로 플래그 지정된 파일을 볼 수 없음
  2. Cannot bookmark files
    파일을 책갈피로 지정할 수 없음
  3. Cannot perform indexed searching
    인덱스 검색을 수행할 수 없음
  4. Cannot Log into a Database
    데이버테이스에 기록할 수 없음

[ Question 4 ]

Which statement is true about Evidence Processing in FTK?
> 다음 중 FTK의 증거 처리에 대한 설명으로 옳은 것은?

  1. Processing options can be chosen during or after adding evidence
    증거 추가 중 또는 후에 처리 옵션을 선택할 수 있습니다.
  2. A processing profile can be chosen when adding evidence to an existing case
    기존 사례에 증거를 추가할 때 처리 프로파일을 선택할 수 있습니다.
  3. All Evidence processing options available during case creation are also available after case creation.
    사례 생성 중에 사용 가능한 모든 증거 처리 옵션도 사례 생성 후에 사용할 수 있습니다.
  4. Processing Options can be chosen only when adding evidence
    증거 추가 시에만 처리 옵션을 선택할 수 있습니다.

[ Question 5 ]

In which FTK Overview Tab container/node are Internet Explorer Webcache files classified?
> Internet Explorer 웹 캐시 파일이 분류되는 FTK 개요 탭 컨테이너/노드는 무엇입니까?

  1. Java Code Container
    Java 코드 컨테이너
  2. Internet/Chat Files Container
    인터넷/대화 파일 컨테이너
  3. Archive Container
    아카이브 컨테이너
  4. Documents Container
    문서 컨테이너

[ Question 6 ]

Which pattern does the following regular expression recover? (\d{3}[\- ]).{5}[\- ]\d{3}
> 다음 정규식은 어떤 패턴을 복구합니까? (\d{3}[\-])입니다.{5}[\-]\d{3}

  1. 123-12345.000
  2. 123-12345-ABC
  3. dd-3-5-3
  4. 123-12C45-000

[ Question 7 ]

Which statement is true concerning bookmarks in an FTK report?
> FTK 보고서의 책갈피와 관련하여 올바른 설명은 무엇입니까?

  1. Filters cannot be applied to bookmarks in a report
    리포트의 책갈피에 필터를 적용할 수 없습니다.
  2. Bookmarks to be included in a report must be chosen before the report function is started
    보고서 기능을 시작하기 전에 보고서에 포함할 책갈피를 선택해야 합니다.
  3. An email attachment not part of the original bookmarked email can still be included
    원래 책갈피 전자 메일에 포함되지 않은 전자 메일 첨부 파일을 계속 포함할 수 있습니다.
  4. FTK will only allow bookmarks containing graphics to be included in a report
    FTK는 그래픽이 포함된 책갈피만 보고서에 포함하도록 허용합니다.

[ Question 8 ]

Which statement concerning TR1 Regular Expressions in FTK is true?
> 다음 중 FTK의 TR1 정규식에 관한 설명으로 옳은 것은?

  1. A TR1 Expression can be run as a processing option during case creation
    TR1 식은 사례 생성 중에 처리 옵션으로 실행될 수 있습니다.
  2. A TR1 expression must be run from the Live Search tab
    TR1 식은 실시간 검색 탭에서 실행해야 합니다.
  3. A TR1 expression can be shared via the Manage menu
    TR1 식은 관리 메뉴를 통해 공유할 수 있습니다.
  4. A TR1 expression can be run from Index Search Tab
    TR1 식은 인덱스 검색 탭에서 실행할 수 있습니다.

[ Question 9 ]

For a traditional attack against an EFS encrypted file in FTK, what file is needed to determine the password?
> FTK에서 EFS 암호화된 파일에 대한 기존 공격의 경우 암호를 결정하는 데 필요한 파일은 무엇입니까?

  1. FEK Certificate
  2. Master Key
  3. SECURITY
  4. SAM
  5. SOFTWARE

[ Question 10 ]

Which processing option must be executed to view the child subitems of *.zip file?
> *.zip 파일의 하위 항목을 보려면 실행해야 하는 처리 옵션은 무엇입니까?

  1. Expand Compound FIles
    복합 파일 확장
  2. dtSearch Indexing
    dt 검색 인덱싱
  3. Visualization
    시각화
  4. Entropy Test
    엔트로피 테스트

오늘은 간단하게 기출문제 중 필기에 관해서 10문제를 작성해 보았습니다. 다음 포스팅에서는 실기 부분에 관해 작성하도록 하겠습니다.

다른 추가적인 문의나 오탈자는 아래 댓글 또는 pental@kakao.com 으로 남겨주시면 감사하겠습니다.

저작자표시 비영리