Digital Forensics/X-Ways2021. 1. 6. 19:42
반응형

[X-Ways Forensics] 23 Signature Analysis

 

Signature Analysis는 확장자가 변경된 파일 식별이 주 목적이다.

대부분의 프로그램에서 확장자를 보고 파일 타입을 결정하는 것이

문제의 소지가 될 수 있으므로, 

기록된 확장자와 파일의 실제 Signature 를 분석하여 일치하는 지를 확인하는 작업이다.

 

Signature

어떠한 파일타입인지를 나타내는 코드

보통 파일의 앞 부분

JPG 의 경우 FF D8 , MP3 의경우 ID 3 로 시작한다.

 


수사과정에서는 음란물 검색, 웹쉘 검색(업로드 취약점 이용) 등에서 주로 활용한다.

 

 

Signature 분석

 

Signature 분석 수행

 

Signature 분석 결과

// not verified : 삭제된 파일로, 검증 불가, hard link인 경우도 굳이 반복하여 검증 불요

 

// newly identified : ascii, xls 등으로 새로 확인함

 

 

※ EnCase를 활용한 Signature 분석과 비교 : ccibomb.tistory.com/358

반응형
Posted by CCIBOMB