'구문론적 파일카빙'에 해당되는 글 1건

  1. 2019.10.17 DFRWS USA 2019 - 구문론적 파일카빙 및 재현가능한 데이터셋 자동생성
Digital Forensics2019. 10. 17. 23:21
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Session II : Files and Filesystem Forensics
    (DB 포렌식, 파일시스템 포렌식)

  ◦ 좌 장 : Alex Nelson, Ph.,D. (NIST)

  ◦ 발표 1

     - 주제 : 구문론적 파일카빙 및 재현가능한 데이터셋 자동생성 (원제 : Syntactical File Carving and Automated Generation of Reproducible Datasets)

     - 발표자 : Jan-Niclas Hilgert

     - 발표내용

       △ 파일카빙은 파일시스템이나 다른 외부 메타데이터에 의존하지 않고 저장매체에서 파일을 복구하는 기법

       △ 파일이 연속적으로 저장된 경우 비교적 쉽게 카빙 가능하나, 단편화되어 저장된 경우 매우 복잡한 작업이 필요함

       △ 기존의 PNG 파일카버는 헤더와 푸터(Header-to-footer) 시그니처로 인식하여 카빙하거나, 헤더 내에 파일길이 정보를 분석하여 헤더부터 해당 크기만큼 카빙하는 방법임

       △ 본 연구는 구문론적인 파일카빙(파일구조를 최대한 활용)을 이용하여 PNG 파일형식을 카빙하는 방법론을 연구함

         ① 시그니처 검색, Chunk 건너뛰기, 유효한 Chunk 시그니처 검색, 파일유형 특징 및 CRC 체크섬을 이용한 유효한 Chunk 확인 및 정렬, 구문론적으로 가능성이 적은 Chunk 제외 등

       △ 연구결과인 PNG 파일카버의 프로토타입을 활용하는 경우, 단편화되어 저장된 PNG 파일에 대해 높은 복원율을 보임

     - 시사점 : 공유된 연구결과(https://github.com/fkie-cad/png-carving) 활용하여, 단편화되어 저장된 PNG파일 카빙 시도 가능

paper-syntactical_carving_of_pngs_and_automated_generation_of_reproducible_datasets.pdf
1.21MB

반응형
Posted by CCIBOMB