File Forensic/File Signature & Signature Recovery

[Digital Forensic] File Header & Footer Signature

DF_m@ster 2024. 1. 3. 15:01

파일의 시작과 끝을 구별하는 사용되는 헤더 시그니처와 푸터 시그니처는 파일의 기본 구조를 정의한다다. 이러한 파일 시그니처는 단순히 파일의 시작과 종료 지점을 나타내는 것을 넘어서, 해당 파일의 확장자를 식별하는 역할을 한다. , 다양한 파일 확장자마다 고유한 헤더, 푸터 시그니처가 존재하며, 디지털 포렌식 분야에서는 이러한 파일 시그니처가 특히 중요하다. 헤더 시그니처와 푸터 시그니처를 통해 파일의 손상 여부, 확장자 변경, 스테가노그래피 같은 숨겨진 정보를 발견할 있다.

 

아래는 흔히 쓰이는 파일 확장자들을 직접 생성하여 파일의 헤더, 푸터 시그니처를 확인여 표로 정리해 둔 결과이다.

생성한 확장자 파일

 

 

 

1. PDF

Header Signature 25 50 44 46 %PDF
Footer Signature 25 25 45 4F 46 %%EOF

PDF

 

2. JPEG

Header Signature FF D8 FF E0 xx xx 4A 46 49 46
FF D8 FF E1 xx xx 45 78 69 66 (EXIF)
ÿØÿà . . JFIF
Footer Signature FF D9
53 45 46 54 (EXIF)
ÿÙ

JPEG

 

3. PNG

Header Signature 89 50 4E 47 0D 0A 1A 0A ‰PNG . . . .
Footer Signature 49 45 4E 44 AE 42 60 82 IEND®B`‚

PNG

 

4. Zip, docx, pptx, xlsx, hwpx

Header Signature 50 4B 03 04 PK . .
Footer Signature 50 4B 05 06 PK . .

Zip, docx, pptx, xlsx, hwpx

 

5. hwp

Header Signature D0 CF 11 E0 A1 B1 1A E1 ÐÏ . ࡱ . á
Footer Signature X X

hwp

 

6. GIF

Header Signature 47 49 46 38 39 61 GIF89a
Footer Signature 00 3B . ;

GIF