zzunsik
POWERED BY TISTORY 블로그 내 검색 Forensic zzunsik 2017. 6. 21. 15:06
저작자표시 'Forensic' 카테고리의 다른 글
'Forensic' Related Articles
Secret 댓글 손상된 파일을 복구하거나 파일 안에있는 숨겨진 내용을 파악하는 포렌식 분야에서 알아야 할 파일 시그니처의 개념과 CTF에서 자주 볼 수있는 파일들의 헤더 시그니처에 대해 알아봅시다. 파일 시그니처가 뭔가요?파일 시그니처(File Signatures) 혹은 파일 매직 넘버(file magic number)는 파일 시그니처는 특정한 byte로 이루어져 있는데 이 byte 단위의 시그니처가 파일의 처음에만 존재하는 파일 포맷도 있고, 처음과 마지막에 존재하는 파일 포맷도 있습니다. 파일의 처음에 있는 시그니처는 헤더(Header) 시그니처, 만약 헤더 시그니처와 푸터 시그니처가 다른 형식일 경우, 파일에 문제가 있거나 조작된 파일일 가능성이 있습니다. CTF에 주로 출제되는 파일들의 헤더 시그니처
1. 파일 시그니처란? 파일 시그니처 (file signature) (= file magic number) : 파일 형식마다 가지고 있는 고유의 특징, 즉 포맷에 대한 정보이다. 즉, 파일의 형식마다 정해져 있는 특정한 byte 들 이다. 파일의 처음에만 존재하는 파일 포맷도 있고, 마지막에 존재하는 파일 포맷도 있다. 파일의 처음에 있는 시그니처는 헤더(Header) 시그니처, 파일의 마지막에 있는 시그니처는 푸터(Footer or Tailer) 시그니처 라고 한다. 만약 헤더와 푸터 시그니처가 다른 형식일 경우, 파일에 문제가 있거나 조작된 파일일 가능성이 있다. HxD 프로그램으로 쉽게 확인할 수 있다.
더 많은 파일 시그니처는 -> https://en.wikipedia.org/wiki/List_of_file_signatures -> https://www.garykessler.net/library/file_sigs.html 2. 파일 시그니처 확인 방법 HxD 로 위의 표에 있는 16진수들을 검색하면 파일 시그니처를 확인할 수 있다. 일단 이 파일은 jpeg 파일이라 FF D8 로 시작한다. Ctrl+f 를 눌러서 검색 기능을 활용해서 다른 파일 형식이 숨어있는지 확인할 수 있다. 검색 방식을 16진수 값으로 바꿔주고, 위의 파일 시그니처들을 검색해준다. 해당 시그니처가 있으면 이렇게 찾을 수 있다. |