File Forensic/File Signature & Signature Recovery 3

[Digital Forensic] Steganography Information Analysis

디스크 증거 수집 단계 중 스테가노그래피 파일 분석은 중요한 과정이다. 스테가노그래피 파일들은 겉으로 보이는 것 이상의 정보를 담고 있어 올바른 스테가노그래피 파일 선별과 분석 방법을 알아야 한다. 본 글은 다양한 스테가노그래피 기법 중 파일의 시작과 끝을 나타내는 헤더와 푸터 시그니처를 사용하여, 파일 끝에 다른 파일을 이어 숨기는 스테가노그래피 방법을 분석 내용이다. 실습 예로, 블로그의 로고 이미지인 'Logo_Image(Original).png' 파일 아래에 'Steganography.txt' 파일이 압축된 'Steganography.zip' 파일을 숨기고, 이렇게 만들어진 스테가노그래피 파일은 'Logo_Image.png'로 저장하였다. 'Logo_Image.png' 파일의 크기는 숨겨진 'St..

[Digital Forensic] File Signature Recovery

분석하려는 파일이 손상됨을 확인하거나, 파일 추출 이후에 파일이 열리지 않을 때, 파일 복구가 필요하다. 이러한 경우, 파일의 헤더 시그니처를 활용하여 복구해야 하며, 파일 안티 포렌식은 주로 세 가지 경우가 존재한다.첫 번째: 파일의 확장자가 변조되어 헤더 시그니처와 일치하지 않는 경우 (헤더 시그니처 변조 X)두 번째: 파일의 헤더 시그니처가 변조된 경우 (확장자 변조 X) 위에서 언급한 두 가지 경우를 직접 복구해 보기 위해 디스크를 생성하였다.실습에 사용한 디스크의 정보이다. Root Directory 이하에 'File Recovery'라는 디렉터리를 생성하였고, 추가적으로 'File Recovery' 디렉터리 이하에 위에서 언급한 경우의 파일 훼손을 적용한 4개의 파일 '훼손_1.hwp', '훼..

[Digital Forensic] File Header & Footer Signature

파일의 시작과 끝을 구별하는 데 사용되는 헤더 시그니처와 푸터 시그니처는 파일의 기본 구조를 정의한다다. 이러한 파일 시그니처는 단순히 파일의 시작과 종료 지점을 나타내는 것을 넘어서, 해당 파일의 확장자를 식별하는 역할을 한다. 즉, 다양한 파일 확장자마다 고유한 헤더, 푸터 시그니처가 존재하며, 디지털 포렌식 분야에서는 이러한 파일 시그니처가 특히 중요하다. 헤더 시그니처와 푸터 시그니처를 통해 파일의 손상 여부, 확장자 변경, 스테가노그래피 같은 숨겨진 정보를 발견할 수 있다.  아래는 흔히 쓰이는 파일 확장자들을 직접 생성하여 파일의 헤더, 푸터 시그니처를 확인여 표로 정리해 둔 결과이다.   1. PDFHeader Signature25 50 44 46%PDFFooter Signature25 25..