8. Signature Analysis
8-1. 개요
Signature Analysis는 확장자가 변경된 파일 식별이 주 목적이다.
대부분의 프로그램에서 확장자를 보고 파일 타입을 결정하는 것이 문제의 소지가 될 수 있으므로, 기록된 확장자와 파일의 실제 Signature 를 분석하여 일치하는 지를 확인하는 작업이다.
8-2. Signature
어떠한 파일타입인지를 나타내는 코드
보통 파일의 앞 부분
JPG 의 경우 FF D8 , MP3 의경우 ID 3 로 시작함.
Encase 의 View 메뉴에 가면 File Signatures 메뉴가 있다.
8-3. Encase에서 Search (Verify file signatures 체크) 후 결과 표시
!Bad Signature |
Signiature 손상 |
확장자 등록, Signatre 등록 X |
Match |
정상적인 파일 |
Signature와 확장자 일치 |
* [Alias] |
확장자 변경 |
등록된 확장자, Signature 불일치 (명확한 조작) |
Unknown |
등록 X 파일 |
확장자, Signature 둘다 등록 X |
8-4. Signature Search 시 필터링
Signature contains [*] : *포함한 것
or Signature contains [!] : 복합조건 (조건을 더 만든다.)
c.f) 복합조건 생성시 논리연산자가 자동으로 or 로 됨.
and 로 바꾸려면 ‘change logic’을 하면 된다. (우클릭 – logic)
8-5. 새로운 File Signature 등록 (Multimedia - new) : Rebuild 불필요함
// Option
Search expression - '\x49\x44\x33'
GREP - 16진수, 정규식 사용시
Case Sensitive - 대소문자 구별, Signature : ID3
Extentions : mp3
Name : mp3 Audio file
c.f) File Type 은 DB가 별도로 있어 별도 등록 필요함. Viewer는 개별설정 가능함
파일 표준이 있을 경우 분석자료를 참고한다.
파일 샘플을 여러 개 가져다 놓고 비교 분석한다.
파일 signature를 분석해놓은 사이트를 참조한다.
(eg. http://www.garykessler.net/library/file_sigs.html/)
8-7. File Signature 확인 실습
① Search – Verify file signatures
② Searching
③ Finish
④ Result
8-8. Signature 위치에 따른 파일 인식 여부
① Signature가 File의 시작이 아닌 중간에 위치한 경우 인식 여부 확인
정상적인 JPG 파일 (VMware.jpg)
Signature를 중간으로 옮긴 경우 (VMware2.jpg)
② File 내 여러 개의 Signature가 있는 경우 인식 여부 확인
정상적인 JPG 파일의 중간에 png 파일의 Signature 삽입 (VMware3.jpg)
③ Encase에서 인식 결과
- Signature 를 중간으로 옮긴 (VMware2.jpg)의 경우 “! Bad signature”
즉, Signature는 각 파일의 맨 앞에 위치하여야 함
- Signature 가 중복된 (VMware3.jpg)의 경우 정상적인 JPG 파일로 인식함
즉, Signature는 각 파일의 맨 앞에 위치한 하나만 인식함
8-9. MS Office File Signature
① 2003 ver. 이하 문서 (xls, doc, ppt)
- Password 유무 상관 없이 동일한 Signature 지님 : 구분 불가능!
Signature : D0 CF 11 E0 A1 B1 1A E1
- Encase에서는 세 개 파일 모두 동일한 File Signature에 등록되어 있음
Encase 에서는 xls, doc, ppt 모두 Compound Document File에 등록됨
따라서 이 세 개의 확장자 중에서 서로 바꾸는 경우에도 Match 로 인식됨
② 2007 ver. 문서 (xlsx, docx, pptx)
- 암호 유무에 따라 서로 다른 Signature 지님
암호가 없는 경우 공통 Signature : 50 4B 03 04
암호가 걸린 경우 공통 Signature : D0 CF 11 E0 A1 B1 1A E1 (2003과 동일)
- Encase 의 File Signature Table 에서 확인
암호가 없는 경우 공통 Signature : 50 4B 03 04 는 ZIP Compressed에 ‘zip, docx, pptx, xlsx’ 확장자와 함께 등록되어 있음. 따라서 상호간 확장자를 바꾸어도 Encase는 Match로 인식함
암호가 걸린 경우 D0 CF 11 E0 A1 B1 1A E1 는 2003의 경우와 동일하게 Compound Document File에 File Signature로는 등록되어 있으나, 확장자(xlsx, docx, pptx)는 등록되어 있지 않으므로 Encase는 * (Alias) 로 인식함
③ 결론
Office 2003 문서(암호 유무 상관 X)의 Signature
= Office 2007 문서(암호 O)의 Signature
= ZIP 파일(암호 유무 상관 X)의 Signature
'Digital Forensics > EnCase' 카테고리의 다른 글
Encase Series - 10 Shortcut Analysis(파일 Signature 분석) (0) | 2010.11.29 |
---|---|
Encase Series - 9 Hash Analysis (2) | 2010.11.29 |
Encase Series - 7 Web History Analysis (인터넷 기록 분석) (0) | 2010.11.25 |
Encase Series - 6 파티션 복구 (3) 실습 - Case 4 (0) | 2010.11.25 |
Encase Series - 6 파티션 복구 (3) 실습 - Case 3 (0) | 2010.11.25 |