Digital Forensics/X-Ways2021. 1. 6. 19:42
반응형

[X-Ways Forensics] 23 Signature Analysis

 

Signature Analysis는 확장자가 변경된 파일 식별이 주 목적이다.

대부분의 프로그램에서 확장자를 보고 파일 타입을 결정하는 것이

문제의 소지가 될 수 있으므로, 

기록된 확장자와 파일의 실제 Signature 를 분석하여 일치하는 지를 확인하는 작업이다.

 

Signature

어떠한 파일타입인지를 나타내는 코드

보통 파일의 앞 부분

JPG 의 경우 FF D8 , MP3 의경우 ID 3 로 시작한다.

 


수사과정에서는 음란물 검색, 웹쉘 검색(업로드 취약점 이용) 등에서 주로 활용한다.

 

 

Signature 분석

 

Signature 분석 수행

 

Signature 분석 결과

// not verified : 삭제된 파일로, 검증 불가, hard link인 경우도 굳이 반복하여 검증 불요

 

// newly identified : ascii, xls 등으로 새로 확인함

 

 

※ EnCase를 활용한 Signature 분석과 비교 : ccibomb.tistory.com/358

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 11. 25. 11:53
반응형

 

8.   Signature Analysis

 

8-1.       개요

Signature Analysis는 확장자가 변경된 파일 식별이 주 목적이다.

대부분의 프로그램에서 확장자를 보고 파일 타입을 결정하는 것이 문제의 소지가 될 수 있으므로, 기록된 확장자와 파일의 실제 Signature 를 분석하여 일치하는 지를 확인하는 작업이다.

 

8-2.       Signature

어떠한 파일타입인지를 나타내는 코드

보통 파일의 앞 부분

JPG 의 경우 FF D8 , MP3 의경우 ID 3 로 시작함.

 

Encase View 메뉴에 가면 File Signatures 메뉴가 있다.

 

 

8-3.       Encase에서 Search (Verify file signatures 체크) 후 결과 표시

!Bad Signature

Signiature 손상

확장자 등록, Signatre 등록 X

Match

정상적인 파일

Signature와 확장자 일치

* [Alias]

확장자 변경

등록된 확장자, Signature 불일치 (명확한 조작)

Unknown

등록 X 파일

확장자, Signature 둘다 등록 X

 

 

8-4.       Signature Search 시 필터링

Signature contains [*]    :  *포함한 것

or Signature contains [!]  : 복합조건 (조건을 더 만든다.)

 

c.f) 복합조건 생성시 논리연산자가 자동으로 or 로 됨.

and 로 바꾸려면 ‘change logic’을 하면 된다. (우클릭 – logic)

 

 

8-5.       새로운 File Signature 등록 (Multimedia - new) : Rebuild 불필요함

 

 

                      예시 : Mp3 파일 등록

         // Option

Search expression - '\x49\x44\x33'

GREP - 16진수, 정규식 사용시

Case Sensitive - 대소문자 구별, Signature : ID3

 Extentions : mp3

 Name : mp3 Audio file

 

 

c.f) File Type DB가 별도로 있어 별도 등록 필요함. Viewer는 개별설정 가능함

 

 

 8-6.       File Signature 분석하는 방법

파일 표준이 있을 경우 분석자료를 참고한다.

파일 샘플을 여러 개 가져다 놓고 비교 분석한다.

파일 signature를 분석해놓은 사이트를 참조한다.

(eg. http://www.garykessler.net/library/file_sigs.html/)

 

 

8-7.       File Signature 확인 실습

 

Search Verify file signatures

 

② Searching



 

Finish

 

④ Result

 

 

 

8-8.       Signature 위치에 따른 파일 인식 여부

① Signature File의 시작이 아닌 중간에 위치한 경우 인식 여부 확인

  정상적인 JPG 파일 (VMware.jpg)

 

Signature를 중간으로 옮긴 경우 (VMware2.jpg)

 



 

File 내 여러 개의 Signature가 있는 경우 인식 여부 확인

정상적인 JPG 파일의 중간에 png 파일의 Signature 삽입 (VMware3.jpg)



 

Encase에서 인식 결과



-      Signature 를 중간으로 옮긴 (VMware2.jpg)의 경우 “! Bad signature

, Signature는 각 파일의 맨 앞에 위치하여야 함

-      Signature 가 중복된 (VMware3.jpg)의 경우 정상적인 JPG 파일로 인식함

, Signature는 각 파일의 맨 앞에 위치한 하나만 인식함

 

 

8-9.       MS Office File Signature

① 2003 ver. 이하 문서 (xls, doc, ppt)

-      Password 유무 상관 없이 동일한 Signature 지님 : 구분 불가능!

Signature : D0 CF 11 E0 A1 B1 1A E1

 

 



-      Encase에서는 세 개 파일 모두 동일한 File Signature에 등록되어 있음

Encase 에서는 xls, doc, ppt 모두 Compound Document File에 등록됨

따라서 이 세 개의 확장자 중에서 서로 바꾸는 경우에도 Match 로 인식됨

 



 

2007 ver. 문서 (xlsx, docx, pptx)

-      암호 유무에 따라 서로 다른 Signature 지님

암호가 없는 경우 공통 Signature : 50 4B 03 04

암호가 걸린 경우 공통 Signature : D0 CF 11 E0 A1 B1 1A E1 (2003과 동일)

 


-      Encase File Signature Table 에서 확인

암호가 없는 경우 공통 Signature : 50 4B 03 04 ZIP Compressed에 ‘zip, docx, pptx, xlsx’ 확장자와 함께 등록되어 있음. 따라서 상호간 확장자를 바꾸어도 Encase Match로 인식함

 



암호가 걸린 경우 D0 CF 11 E0 A1 B1 1A E1 2003의 경우와 동일하게 Compound Document File File Signature로는 등록되어 있으나, 확장자(xlsx, docx, pptx)는 등록되어 있지 않으므로 Encase * (Alias) 로 인식함

 



 

결론

Office 2003 문서(암호 유무 상관 X) Signature

= Office 2007 문서(암호 O) Signature

= ZIP 파일(암호 유무 상관 X) Signature

 

 

반응형
Posted by CCIBOMB